DNSSEC (Português)

Status de tradução: Esse artigo é uma tradução de DNSSEC. Data da última tradução: 2019-06-23. Você pode ajudar a sincronizar a tradução, se houver alterações na versão em inglês.

Do artigo do Wikipédia sobre o DNSSEC:

As Extensões de Segurança do Sistema de Nomes de Domínio ou, em inglês Domain Name System Security Extensions (DNSSEC), são um conjunto de especificações da IETF (Internet Engineering Task Force) para proteger certos tipos de informações fornecidas pelo Sistema de Nomes de Domínio (DNS), conforme usado em redes IP (Internet Protocol). É um conjunto de extensões para o DNS que fornecem aos clientes DNS (resolvedores ou resolvers) autenticação de origem de dados DNS, negação de existência autenticada e integridade de dados, mas não disponibilidade ou confidencialidade.

Validação básica de DNSSEC

Nota: É necessária uma configuração adicional para as suas lookups de DNS DNSSEC por padrão. Veja #Instalar um resolvedor de validação de DNSSEC e #Habilitar DNSSEC em um software específico.

Instalação

A ferramenta drill pode ser usada para validação básica de DNSSEC. Para usar o drill, instale o pacote ldns.

Para outras ferramentas disponíveis, veja Resolução de nome de domínio#Utilitários de pesquisa.

Consulta com validação DNSSEC

Então, para consultar com validação DNSSEC, use a opção -D:

$ drill -D exemplo.com

Testando

Como um teste, use os seguintes domínios, adicionando a opção -T, que rastreia dos servidores raiz descendo até o domínio sendo resolvido:

$ drill -DT sigfail.verteiltesysteme.net

O resultado deve terminar com as seguintes linhas, indicando que a assinatura DNSSEC é falsa (bogus):

[B] sigfail.verteiltesysteme.net.       60      IN      A       134.91.78.139
;; Error: Bogus DNSSEC signature
;;[S] self sig OK; [B] bogus; [T] trusted

Agora, para testar uma assinatura confiável:

$ drill -DT sigok.verteiltesysteme.net

O resultado deve terminar com as seguintes linhas, indicando que a assinatura é confiável:

[T] sigok.verteiltesysteme.net. 60      IN      A       134.91.78.139
;;[S] self sig OK; [B] bogus; [T] trusted

Instalar um resolvedor de validação de DNSSEC

Para usar o DNSSEC em todo o sistema, você pode usar um resolvedor de DNS que seja capaz de validar registros de DNSSEC, para que todas as pesquisas de DNS passem por ele. Veja Resolução de nome de domínio#Servidores DNS para as opções disponíveis. Observe que cada um requer opções específicas para ativar seu recurso de validação do DNSSEC.

Se você tentar visitar um site com um endereço IP falso (spoofed), o resolvedor de validação impedirá que você receba os dados DNS inválidos e seu navegador (ou outro aplicativo) será informado de que não existe esse host. Como todas as pesquisas de DNS passam pelo resolvedor de validação, você não precisa de um software que tenha suporte a DNSSEC integrado ao usar essa opção.

Habilitar DNSSEC em um software específico

Se você optar por não #Instalar um resolvedor de validação de DNSSEC, será necessário usar o software que possui suporte a DNSSEC integrado para usar seus recursos. Muitas vezes isso significa que você deve corrigir o software sozinho. Uma lista de vários aplicativos corrigidos é encontrada aqui. Além disso, alguns navegadores web têm extensões ou complementos que podem ser instalados para implementar o DNSSEC sem corrigir o programa.

Veja também

DNSSEC Resolver Test - um teste simples para ver se você tem DNSSEC implementado em sua máquina.
DNSSEC-Tools
DNSSEC Visualizer - uma ferramenta para visualizar o status de uma zona de DNS.
Red Hat: Securing DNS Traffic with DNSSEC - Artigo completo sobre a implementação do DNSSEC com unbound. Note que algumas ferramentas são específicas do Red Hat e não são encontradas no Arch Linux.
DNSSEC no Wikipedia em inglês e em português