Como o DNSSEC difere da criptografia?

É uma pergunta que ouvimos com frequência: "DNSEC não é o mesmo que DNS criptografado?"

Na verdade, não. Embora o DNSSEC proteja as redes contra ataques intermediário, ele faz isso por meio de criptografia de chave pública, que é diferente da criptografia. Em outras palavras, o DNSSEC oferece uma forma de autenticação, mas não uma forma de confidencialidade.

O DNSSEC usa criptografia de chave pública para "assinar" ou autenticar digitalmente consultas DNS. Quando o DNSSEC é habilitado em um registro de zona, o dispositivo de recebimento pode comparar as informações recebidas com as informações originais enviadas pelo servidor autoritativo. Isso é habilitado por uma assinatura digital que usa chaves públicas para autenticar dados.

No DNSSEC, as chaves de autenticação são protegidas por criptografia, mas os dados em si não estão protegidos. Ainda é possível interceptar e ler o tráfego protegido pelo DNSSEC. Se os dados forem manipulados em algum lugar ao longo do caminho de dados e enviados para o seu destino, o servidor de recebimento poderá dizer que algo está errado porque as chaves públicas não corresponderão.

A criptografia, por outro lado, usa criptografia para codificar os próprios dados. A criptografia garante a confidencialidade ao alterar o que um invasor veria se interceptasse uma consulta em algum lugar ao longo do caminho dos dados. Isso torna esses dados ininteligíveis, a menos que o invasor possa decifrar o sinal usando uma chave de criptografia. Como essa chave não é compartilhada publicamente, a criptografia protege os dados contra manipulação.

O DNS é um dos protocolos mais antigos da internet. Quando foi criada, a internet era um lugar muito menor, onde praticamente todos se conheciam. A segurança foi uma consideração tardia.

Quando a segurança na internet se tornou uma preocupação, o DNS era tão amplamente usado que qualquer mudança significativa teria parado bruscamente todo o sistema. Em vez de tentar desenvolver um protocolo totalmente criptografado para substituir o DNS, decidiu-se conectar um mecanismo de autenticação ao sistema existente.

O DNSSEC era um meio termo. Isso possibilitou a autenticação de consultas e dados, aumentando a segurança do protocolo. Mas ela fez isso sem alterar o sistema subjacente, para que a Internet pudesse continuar crescendo sem a necessidade de reestruturar nada. A implementação do DNSSEC tornou-se opcional para que as organizações pudessem fazer a transição, se e quando quisessem.

O envenenamento de cache de DNS (também conhecido como falsificação de DNS) é um grande motivo para implementar o DNSSEC. Em um ataque de falsificação de DNS, uma resposta não autenticada é substituída pela resposta legítima a uma consulta de DNS. Essa resposta fica presa no cache, continuando a retornar a resposta errada e direcionando os usuários para sites maliciosos até que o "tempo de vida" expire.

O DNSSEC protege contra esses tipos de ataques autenticando as respostas do DNS, garantindo que apenas as respostas corretas sejam retornadas. A criptografia pode proteger os dados subjacentes em uma conexão de DNS, mas não protegeria contra um ataque de falsificação de DNS.

Infelizmente, apenas cerca de 20% do tráfego da internet (link externo a ibm.com) é validado por meio do DNSSEC. Embora isso seja um aumento significativo em relação a apenas alguns anos atrás, ainda está muito longe de onde deveria estar. Uma combinação de problemas de usabilidade, falta de informação e completa preguiça é responsável por essa lacuna significativa.

A NS1 incentiva fortemente todos os seus clientes a implementar o DNSSEC e promove seu uso por meio de um processo de implementação simples. Ao contrário de outros provedores, a NS1 até é compatível com o DNSSEC como um provedor secundário ou opção de DNS redundante por meio de nossa oferta de DNS dedicado.