Hay dos lados de DNSSEC: firma y validación; juntos, proporcionan un mayor nivel de seguridad que ofrece DNSSEC. Ambos lados son necesarios para el despliegue general, pero ambos se implementan por separado.
Firma
Su dominio está “firmado” por el operador de los servidores de nombres autorizados para su dominio. Estos servidores de nombres pueden ser operados por un proveedor de DNS, por su registrador con el que registró el dominio (que también proporciona un servicio DNS predeterminado) o por un proveedor de alojamiento web que proporciona alojamiento DNS o sus propios servidores DNS autorizados (o los de otra persona). quién publica el dominio en su nombre).
Básicamente, en el lado de la firma de DNSSEC, el proceso se ve así:
1. El registrante de un nombre de dominio habilita DNSSEC en el lado del DNS que utiliza el dominio.
2. Un operador de DNS que aloja registros DNS los firma con claves DNSSEC.
Como parte del proceso, generarán un registro DS (firmante de delegación) que se debe proporcionar a la zona principal (normalmente, un dominio de nivel superior (TLD)) para completar la “cadena global de confianza”. (Es una cadena de búsquedas validadas por la firma digital del nombre de dominio que asegura la solicitud a través de todos los nodos de búsqueda. Esto garantiza que ningún jugador deshonesto o ilícito pueda colarse en la ruta de búsqueda y redirigir la búsqueda a un sitio falso).
Por el momento, puedes ejecutar DNSSEC en los siguientes servidores de nombres:
NOTA: Actualmente, no existe la posibilidad de ejecutar DNSSEC en los servidores de nombres PremiumDNS para nombres de dominio que no están registrados con . Además, DNSSEC no es compatible con los dominios apuntados a nuestros paquetes compartidos/revendedores.
3. El registrante de un nombre de dominio debe proporcionar este registro DS al registrador de dominio. El sistema del registrador debe poder aceptar registros DS y rechazarlos.
La opción para administrar DNSSEC no está disponible para los siguientes TLD:
.africa, .cm, .com.sg, .de, .eu, .nl, .ph, .sg, .so, .to, .com.au, .net.au, .org.au, dominios de protocolo de enlace
4. Luego, el Registrador proporciona este registro DS al Registro que opera el TLD (el TLD en cuestión en este caso).
Así es como se ve el proceso de firma DNSSEC:
Validación
La validación la realizan solucionadores de DNS que validan DNSSEC. Puede realizarse mediante un solucionador de DNS que se ejecute en cualquier punto de su red, incluido un navegador web, un cliente de mensajería instantánea o un servidor o cliente de correo. También puede ser un solucionador de DNS en su computadora local integrado en su sistema operativo, los solucionadores de DNS proporcionados por su proveedor de servicios de Internet (ISP) o solucionadores de DNS públicos, como los solucionadores de DNS operados por el DNS público de Google.
Durante la validación, las firmas DNSSEC de su dominio se verifican criptográficamente. Como parte de la validación, el solucionador de DNS también verifica la “cadena global de confianza”, desde el servidor raíz de DNS hasta el dominio para garantizar que la información no haya sido modificada. Lo ideal es que la validación de DNSSEC se produzca lo más cerca posible del usuario final (ya sea una persona o un dispositivo).
¡Eso es todo!
Si tiene alguna pregunta, no dude en ponerse en contacto con nuestro.
Facebook Comments
Disqus