DNSSEC (Domain Name System Security Extensions) es una suite de especificaciones IETF (RFC 4033, 4034 y 4035 de marzo de 2005) que anade firmas criptograficas a los registros DNS. Sin DNSSEC, un resolver no puede verificar que una respuesta DNS provenga realmente del servidor autoritativo y no haya sido modificada en transito, lo que permite ataques como envenenamiento de cache, spoofing DNS y ataques on path. Con DNSSEC cada conjunto de registros (A, AAAA, MX, TXT, etc.) se firma con una clave privada del titular de la zona, y los resolvers validan la firma con la clave publica correspondiente. La zona raiz esta firmada desde el 15 de julio de 2010. En 2025 mas del 90 por ciento de los ccTLD y todos los gTLD principales (com, net, org, info, biz) admiten DNSSEC. La adopcion en dominios varia mucho por pais: Paises Bajos, Suecia, Republica Checa y Noruega superan el 60 por ciento, otros paises siguen por debajo del 5 por ciento.
Como funciona DNSSEC?
- DNSKEY: claves publicas de la zona. Normalmente ZSK (Zone Signing Key) firma los registros y KSK (Key Signing Key) firma el conjunto DNSKEY.
- RRSIG: firma digital de cada conjunto de registros, generada con la ZSK.
- DS (Delegation Signer): hash del KSK del hijo, publicado en la zona padre. Cierra la cadena de confianza.
- NSEC o NSEC3: prueba la no existencia de un registro. NSEC3 hashea los nombres para evitar el zone walking.
El resolver validador parte de la raiz, verifica el KSK raiz contra un trust anchor incorporado (root key, rotada en octubre de 2018 de KSK 19036 a KSK 20326), y sigue la cadena por el TLD hasta la zona consultada. Si falta o falla una firma devuelve SERVFAIL.
Que ataques previene DNSSEC?
- Envenenamiento de cache: ataque Kaminsky 2008.
- Spoofing DNS en WiFi publica o ISP hostil.
- Consecuencias de hijacks BGP.
- Servidor autoritativo comprometido: proteccion limitada.
Lo que DNSSEC NO hace
- No cifra las consultas DNS. Para eso DoH (RFC 8484) o DoT (RFC 7858).
- No protege la ultima milla salvo si el cliente valida.
- No detiene DDoS, de hecho amplifica.
- No autentica el sitio web. Eso es TLS.
Como activo DNSSEC?
- Elige un proveedor DNS con DNSSEC: Cloudflare, AWS Route 53 (diciembre 2020), Google Cloud DNS, Azure DNS (2024), DNSimple, Hurricane Electric, Namecheap, Gandi, OVH, INWX, Hetzner, Porkbun.
- Activa DNSSEC en el panel del proveedor.
- Copia el registro DS.
- Pegalo en el panel del registrador.
- Espera hasta 48 horas y valida con
dig +dnssec tudominio.com A.
Como verifico DNSSEC?
- Online: DNSViz, Verisign DNSSEC Debugger, Internet.nl, MxToolbox.
- Linea de comandos:
dig +dnssec example.comodelv example.com. - Navegador: extension "DNSSEC/TLSA Validator" de CZ.NIC.
Algoritmos DNSSEC
| Num. | Algoritmo | Estado |
|---|---|---|
| 5 | RSA/SHA 1 | Obsoleto |
| 8 | RSA/SHA 256 | Muy comun |
| 10 | RSA/SHA 512 | Firmas mayores |
| 13 | ECDSA P 256 | Recomendado moderno |
| 14 | ECDSA P 384 | Mayor nivel de seguridad |
| 15 | Ed25519 | Moderno, compacto |
| 16 | Ed448 | Alta seguridad |
Key rollover
ZSK cada 1 a 3 meses, KSK cada 1 a 2 anos. KSK exige actualizar el DS en el registrador. La raiz se roto por primera vez en octubre 2018. El proximo rollover esta planificado por ICANN para 2026 o 2027.
DNSSEC y DANE
DANE (RFC 6698, agosto 2012) usa registros TLSA firmados con DNSSEC para publicar fingerprints de certificados TLS en DNS. Muy usado en SMTP (Mail.de, Posteo, Mailbox.org). En HTTPS nunca despego.
DNSSEC y DoH
- DNSSEC garantiza autenticidad de la respuesta.
- DoH garantiza confidencialidad de la consulta.
Cloudflare 1.1.1.1, Google 8.8.8.8 y Quad9 9.9.9.9 hacen validacion DNSSEC y ofrecen DoH/DoT.
Errores comunes
- No actualizar el DS tras un rollover.
- Cambiar de proveedor sin coordinar DNSSEC.
- Elegir algoritmos no soportados.
- No monitorizar la expiracion de firmas.
- Confundir DNSSEC con HTTPS o con SPF/DKIM/DMARC.
Como ayuda InspectWP con DNSSEC?
InspectWP consulta los registros DNS de cada dominio analizado e indica si la respuesta lleva firmas DNSSEC y una cadena de confianza valida.