Graças à ampla adoção do DNSSEC por um importante provedor de hospedagem na Web, 2015 poderá ser o ano em que a curva de benefícios do DNSSEC atinja seu "ponto de virada". O DNSSEC adiciona registros criptográficos (também chamados de assinaturas digitais) juntamente com os atuais registros do DNS para garantir que os usuários finais possam detectar qualquer alteração durante o processo de resolução de nomes de domínio. A proteção criptográfica é chamada de "assinatura".
A raiz do DNS foi assinada em 2010 [1]. Após a recente e rápida implementação do DNSSEC, mais de 78% dos TLDs são agora assinados [2] e um número maior de usuários finais está validando [3] as pesquisas do DNS: as medições atuais mostram uma taxa de validação de 12% no mundo todo, 25% nos EUA e 62% na Suécia [4]. A última medição é importante e promissora: quando os usuários finais fazem uma "validação" de que esses registros do DNS são assinados, eles estão efetivamente se protegendo contra modificações não autorizadas e ataques, como o envenenamento de cache [5].
A infraestrutura da Internet está a caminho de adotar por completo o DNSSEC. No entanto, para que o DNSSEC seja eficiente, os nomes de domínio devem ser assinados também. Essa tem sido uma meta difícil de conquistar uma vez que apenas cerca de 2 a 3% dos nomes são assinados. Esse ritmo lento de adoção pode mudar em breve. A CloudFlare [6], um provedor de conteúdo para a Web e hospedagem no DNS, anunciou que fará a implementação do DNSSEC em toda a sua plataforma. O aumento visível estimado de sites assinados no DNSSEC após a implementação da CloudFlare deve resultar em um crescimento abrupto do número de usuários finais, provedores de conteúdo e inovadores [7] a se beneficiarem do DNSSEC. Mais usuários aproveitarão as vantagens da validação e a concorrência poderá também trazer mais provedores importantes para o DNSSEC.
Como podemos dar continuidade a esse excelente momento?
Os benefícios do DNSSEC só poderão ser percebidos completamente depois que ele for amplamente implementado. Sendo assim, é importante que continuemos o trabalho de divulgação do DNSSEC como uma medida para proteger a Internet. Tenho orgulho de dizer que, enquanto parte da Comunidade da Internet, temos sido fundamentais nesse processo até o momento. Vamos dar continuidade ao excelente trabalho.
Dr. Richard Lamb
Gerente de Programas Sênior do DNSSEC
ICANN
[1] A assinatura da raiz é um esforço conjunto entre a Comunidade e nossos parceiros de gerenciamento da zona raiz.http://www.root-dnssec.org/
[2] Estatísticas de TLDs no DNSSEC. https://rick.eng.br/dnssecstat/
[3] Se um nome de domínio é assinado, as respostas de solicitações de pesquisas no DNS são validadas (verificadas se há a ocorrência de modificações inesperadas que possam indicar um ataque) pelo resolvedor do DNS do seu ISP (Internet Service Provider, Provedor de Serviços de Internet). Sendo assim, o aumento contínuo do número de usuários que dependem de um resolvedor para o DNSSEC é significativo.
[4] Estatísticas de resolvedor de validação do DNSSEC. http://gronggrong.rand.apnic.net/cgi-bin/worldmap
[5] Envenenamento de cache http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html
[6] https://blog.cloudflare.com/help-us-test-our-dnssec-implementation/
[7] Com o DNSSEC, o DNS se torna uma banco de dados global seguro para a distribuição de outras coisas além dos registros padrão do DNS. Isso estimulou aqueles que buscam aprimorar a segurança da Internet e da Internet das Coisas. Por exemplo, o DANE (DNS-Based Authentication of Named Entities, Autenticação Baseada em DNS de Entidades Nomeadas)http://www.internetsociety.org/deploy360/resources/dane/