DNSSEC (Domain Name System Security Extensions) es una extensión de seguridad al sistema de DNS. Esta extensión añade un elemento extra de verificación a las DNS de un dominio y evita de esa forma que las DNS puedan ser manipuladas para suplantar un sitio web o dirigir las visitas de un dominio a otro sin el consentimiento ni el conocimiento de su titular.
¿Para qué sirve DNSSEC?
Para comprender la función de DNSSEC es necesario entender el funcionamiento básico del Sistema de Nombres de Dominio (DNS). Este sistema, sobre el que se basa una gran parte de la infraestructura de Internet, actúa (a muy grandes rasgos) como un sistema de guías telefónicas. Las computadoras que almacenan y distribuyen los ficheros que forman una página web (denominados “Servidores”) están identificadas con un número IP, similar a un número de teléfono. Cada vez que intentamos acceder a un sitio web se pone en marcha un sistema que traduce un nombre de dominio (p.ej. registros.com) a su IP correspondiente. De esa forma, nuestro navegador puede localizar los ficheros de una web y mostrarlos en nuestra computadora.
Este sistema de traducción está formado por diversos servidores (conocidos como “servidores DNS”) que contienen listados de nombres de dominio y sus IP correspondientes.
Esta estructura es vulnerable, puesto que permite ataques a un servidor DNS vulnerable con el objetivo de reemplazar la información de DNS de un dominio. De esa forma, el atacante obtiene el control del dominio y puede suplantar la identidad de un sitio web (phishing) o “secuestrando” las visitas de un sitio web para dirigirlas otro lugar (spoofing).
DNSSEC ofrece una capa de seguridad adicional mediante un par de claves encriptadas (una pública y otra privada). Estas claves se almacenan en los registros DNS y permiten validar que la información de DNS proporcionada por un servidor DNS es legítima, evitando ataques de phishing o spoofing.
¿Cómo verificar si mi dominio tiene el registro DNSSEC activado?
Verisign ofrece una herramienta que permite obtener la información relativa a DNSSEC para un dominio: Verisign DNSSEC Analyzer
Para utilizarla simplemente hay que introducir el nombre de dominio a analizar. Si en los resultados obtenemos los siguientes mensajes:
No DS records found for [NOMBREDEDOMINIO] in the [TLD] zone
No DNSKEY records found
No RRSIGs found
entonces significa que DNSSEC no está activado para ese dominio. En caso contrario, su dominio está protegido mediante DNSSEC.
¿Cómo activar DNSSEC para mi dominio?
Si desea activar DNSSEC para su dominio en primer lugar deberá contactar con el proveedor donde tiene alojado su sitio web y preguntarle si soporta DNSSEC. En caso afirmativo, su proveedor le proporcionará una clave DNSSEC que posteriormente deberá enviar a la empresa donde ha registrado su dominio para que cree la entrada correspondiente en los registros de DNS del dominio.