DNSSEC (Domain Name System Security Extensions) e um conjunto de especificacoes IETF (RFC 4033, 4034 e 4035, marco de 2005) que adiciona assinaturas criptograficas aos registros DNS. Sem DNSSEC um resolver nao consegue verificar que uma resposta veio do servidor autoritativo e nao foi alterada em transito, o que possibilita ataques como envenenamento de cache, spoofing DNS e man in the middle. Com DNSSEC cada conjunto de registros e assinado com a chave privada do dono da zona e o resolver valida com a chave publica. A zona raiz esta assinada desde 15 de julho de 2010. Em 2025, mais de 90 por cento dos ccTLDs e todos os gTLDs grandes (com, net, org, info, biz) suportam DNSSEC, mas a adocao em dominios varia: Paises Baixos, Suecia, Republica Tcheca e Noruega passam dos 60 por cento, outros paises ficam abaixo de 5 por cento.
Como funciona o DNSSEC?
- DNSKEY: chaves publicas. ZSK assina os registros, KSK assina o conjunto DNSKEY.
- RRSIG: assinatura digital de cada conjunto.
- DS (Delegation Signer): hash da KSK filha publicado na zona pai. Fecha a cadeia de confianca.
- NSEC ou NSEC3: prova nao existencia. NSEC3 hashea nomes para evitar zone walking.
O resolver validador comeca na raiz, valida a KSK raiz com um trust anchor embutido (root key, rotacionada em outubro de 2018 de KSK 19036 para KSK 20326), e segue a cadeia ate a zona consultada. Se faltar ou falhar uma assinatura retorna SERVFAIL.
Que ataques o DNSSEC evita?
- Envenenamento de cache (ataque Kaminsky 2008).
- DNS spoofing em WiFi publico ou ISP hostil.
- Consequencias de hijacks BGP.
- Servidor autoritativo comprometido (protecao limitada).
O que o DNSSEC NAO faz
- Nao cifra consultas DNS. Para isso DoH (RFC 8484) ou DoT (RFC 7858).
- Nao protege a ultima milha a menos que o cliente valide.
- Nao para DDoS, ate amplifica.
- Nao autentica o site. Isso e papel do TLS.
Como ativo o DNSSEC?
- Escolha provedor DNS com DNSSEC: Cloudflare, AWS Route 53 (dezembro 2020), Google Cloud DNS, Azure DNS (2024), DNSimple, Hurricane Electric, Namecheap, Gandi, OVH, INWX, Hetzner, Porkbun.
- Ative DNSSEC no painel do provedor.
- Copie o registro DS.
- Cole no painel do registrador.
- Aguarde ate 48 horas e valide com
dig +dnssec seudominio.com A.
Como verifico DNSSEC?
- Online: DNSViz, Verisign DNSSEC Debugger, Internet.nl, MxToolbox.
- Linha de comando:
dig +dnssec example.comoudelv example.com. - Navegador: extensao "DNSSEC/TLSA Validator" da CZ.NIC.
Algoritmos
| Num. | Algoritmo | Status |
|---|---|---|
| 5 | RSA/SHA 1 | Obsoleto |
| 8 | RSA/SHA 256 | Mais comum |
| 10 | RSA/SHA 512 | Assinaturas maiores |
| 13 | ECDSA P 256 | Recomendado moderno |
| 14 | ECDSA P 384 | Maior seguranca |
| 15 | Ed25519 | Compacto |
| 16 | Ed448 | Alta seguranca |
Rollover de chaves
ZSK a cada 1 a 3 meses, KSK a cada 1 a 2 anos. O rollover da KSK raiz em outubro de 2018 foi o primeiro. Proximo planejado pela ICANN para 2026 ou 2027.
DNSSEC e DANE
DANE (RFC 6698, agosto 2012) usa TLSA assinado com DNSSEC para publicar fingerprints de certificados TLS no DNS. Muito usado em SMTP. Nunca decolou em HTTPS nos navegadores.
DNSSEC e DoH
- DNSSEC garante autenticidade.
- DoH garante confidencialidade.
Cloudflare 1.1.1.1, Google 8.8.8.8 e Quad9 9.9.9.9 fazem validacao DNSSEC e oferecem DoH/DoT.
Erros comuns
- Nao atualizar o DS apos rollover.
- Mudar de provedor sem coordenar DNSSEC.
- Escolher algoritmo nao suportado.
- Nao monitorar expiracao de assinaturas.
- Confundir DNSSEC com HTTPS ou SPF/DKIM/DMARC.
Como o InspectWP ajuda?
InspectWP consulta os DNS do dominio analisado e reporta se ha assinaturas DNSSEC e uma cadeia de confianca valida.