1 of 20
2 of 20
3 of 20
4 of 20
5 of 20
6 of 20
7 of 20
8 of 20
9 of 20
10 of 20
11 of 20
12 of 20
13 of 20
14 of 20
15 of 20
16 of 20
17 of 20
18 of 20
19 of 20
20 of 20

site

doc

blog

success stories

Compatibilidade com DNSSEC

A plataforma de Edge da Azion é compatível com a especificação DNS Security Extensions (DNSSEC) suportando sua utilização nos sites e aplicações aceleradas pela Azion. O DNSSEC utiliza assinaturas digitais para fornecer autenticação criptográfica dos dados, negação autenticada de existência e integridade dos dados. Ao verificar a assinatura associada aos registros DNS existentes (A, AAAA, CNAME, PTR, etc.), é possível validar que o registro DNS solicitado tem origem no servidor DNS autoritativo e que seu conteúdo original foi preservado, sem sofrer alterações pelo meio do caminho.

Diferentemente da segurança criptográfica provida pelo HTTPS frente ao HTTP, a confidencialidade das respostas não é garantida pelo DNSSEC. Os dados e as chaves trafegam em texto plano seguindo as especificações do protocolo DNS e aptos a serem cacheados, preservando assim o alto desempenho do serviço.

Para uso efetivo, (a) o nível superior do seu domínio (TLDs) deve suportar o uso do DNSSEC; (b) sua zona deve estar configurada com registros de recurso relacionados ao DNSSEC e (c) o DNSSEC deve estar ativado no seu registrador de domínio. Ou seja, o seu DNSSEC deve estar funcionando.

Hospedando uma zona DNSSEC com a Azion

Caso em seus serviços contratados a Azion seja a responsável pela publicação da zona com DNSSEC (DNS autoritativo), novos registros (RRs ou Resource Records) serão adicionados aos já existentes e serão providas informações como a chave pública (DS), o algoritmo utilizado na geração da chave e o endereço dos servidores DNS. Desta forma, você poderá proceder com a ativação do DNSSEC no registrador de domínios competente (por exemplo: registro.br), estabelecendo uma cadeia de confiança.

Cada zona DNS tem um par de chaves pública/privada. A chave privada da zona é utilizada para assinar dados DNS na zona e gerar assinaturas digitais sobre esses dados. A chave privada é mantida em segredo e a chave pública é disponibilizada na própria zona de DNS para que qualquer pessoa a recupere.

Para viabilizar a verificação da assinatura, o DNSSEC exige a administração de novos Resource Records (RR), adicionais aos já utilizados:

DNSKEY contém a chave pública a ser utilizada na verificação.

DS (Signatário de Delegação) - contém o HASH de um registro DNSKEY. Este registro é utilizado pelos servidores do TLD para verificar a autenticidade do próprio DNSKEY.

RRSIG contém a assinatura digital de um registro.

NSEC e NSEC3 utilizados para viabilizar a resposta da inexistência de um registro consultado (negação autenticada de existência), prevenindo que um ator mal intencionado falsifique uma resposta de endereço inexistente.

Recomendações e observações gerais

  • Antes de contratar o serviço, certifique-se que o registro do TLD oferece suporte ao DNSSEC;
  • É recomendado que se reduzam os TTLs da zona de DNS a ser transferida alguns dias antes da mudança programada e que se utilize o TTL de poucos minutos nos registros DNSSEC (DS e DNSKEY) para viabilizar uma rápida recuperação em caso de necessidade;
  • Para efetivação das novas configurações, é necessário aguardar uma nova publicação do responsável pelo TLD;
  • A propagação e visibilidade global da mudança depende da atualização do cache de resolvers administradas por terceiros, o que pode levar dias para ser efetivada.

Para hospedar uma zona com DNSSEC na Azion entre em contato com nossa equipe.


Não encontrou o que procurava? Abra um ticket.