Domain Name System SECurity extensions (DNSSEC)

São um conjunto de extensões à tecnologia do DNS sendo implementadas, atualmente, de forma opcional, ou seja, o serviço de DNS tradicional continua a funcionar. Seu principal objetivo é prover maior segurança na comunicação entre resolvers e servidores de DNS garantindo a origem de uma resposta (ou seja, sua autenticidade), bem como sua integridade. Como, a priori, todas as informações contidas no serviço de DNS são públicas, o DNSSEC não necessita prover confidencialidade na comunicação.

O DNSSEC utiliza o conceito de chaves de criptografia assimétrica (pública e privada). A autenticidade e integridade são providas pela assinatura digital dos registros existentes em uma zona de DNS. A assinatura é realizada utilizando a chave privada do servidor responsável pela zona de DNS (domínio) e pode ser verificada por qualquer outro servidor ou resolver, utilizando para tanto a chave pública correspondente. A autenticidade de uma chave pública pode ser verificada por meio de um hash que fica armazenada na sua "zona pai". No caso dos exemplos das seções anteriores, um hash da chave pública da zona "banco.com.br" ficaria armazenada no responsável pela zona "com.br" e assim por diante, até se atingir os servidores de DNS raiz. Vale também explicar que DNSSEC não utiliza certificados digitais e as chaves (pública e privada) de uma zona de DNS nunca expiram, contudo as assinaturas dos registros existentes na zona possuem validade.

Na prática, o DNSSEC cria um novo conjunto de tipos de registro que podem estar presentes no arquivo de configuração de uma zona de DNS, sendo os mais importantes:

• DNSKEY: contém a chave pública da zona de DNS;
• RRSIG: contém a assinatura digital de um registro existente nessa zona de DNS;
• DS: contém um hash da chave pública de uma zona de DNS "filha". Por exemplo, o arquivo de configuração da zona de DNS "ufrn.br" deverá conter um registro do tipo DS para a zona "metropoledigital.ufrn.br".

Em ambas as situações da seção anterior, o atacante não teria como gerar uma resposta apropriada, pois, para isso, ele necessita da chave privada da zona "banco.com.br" que foi utilizada para assinar todos os seus registros. Ao receber uma resposta do atacante, o resolver ou servidor de DNS recursivo checaria a validade da assinatura dos registros contidos na mesma e ela não seria confirmada. A resposta do atacante seria, então, descartada (conforme mostrado na Figura 6) e o resolver, ou servidor recursivo, aguardaria o recebimento da resposta correta.

Atualmente, todos os principais servidores de DNS já suportam do DNSSEC. É tarefa de seus administradores realizarem as configurações necessárias para que ele seja habilitado para as zonas de DNS que estão sobre sua administração. No Brasil, todos os domínios abaixo do .br podem (e devem) utilizar DNSSEC, sendo inclusive obrigatório o seu uso nos registros que estiverem diretamente abaixo dos domínios.B.BR e .JUS.BR.