Universal DNSSEC

Protege tu dominio de las vulnerabilidades de seguridad del DNS. Sin coste.

DNSSEC mejora la confianza y la integridad del protocolo DNS. Considerado a veces como la guía telefónica de Internet, el DNS traduce los nombres de dominio en direcciones numéricas de Internet. Sin embargo, el DNS es un protocolo básicamente inseguro. No garantiza la procedencia de los registros DNS, y acepta cualquier dirección que se le dé, sin hacer preguntas.

Cloudflare ofrece un DNSSEC intuitivo que se configura en minutos.

¿Qué es DNSSEC?

El protocolo DNSSEC añade una capa de seguridad a un protocolo que de otro modo sería inseguro, ya que verifica los registros DNS mediante firmas criptográficas. Al comprobar la firma asociada a un registro, los solucionadores de DNS pueden verificar que la información solicitada procede de su servidor de nombres autorizado y no de un atacante "Man in the Middle". Con el DNSSEC, quienes visitan tu dominio tienen la garantía de ver el contenido de tu sitio web y no el servidor web de otra persona.

Más información sobre cómo funciona el protocolo DNSSEC.

¿Por qué es importante?

El envenenamiento de caché DNS y la falsificación de respuestas ha sido una vulnerabilidad conocida en la infraestructura global de DNS desde sus inicios, por ejemplo el conocido ataque Kaminsky. El envenenamiento de caché se produce cuando un atacante engaña a un servidor de nombres DNS para que almacene registros incorrectos. Hasta que caduque la entrada de la caché , ese servidor de nombres devolverá los registros DNS falsos a todos los demás que lo soliciten.

Esta práctica permite a un atacante secuestrar el tráfico que se dirige a tu sitio web. Tus visitantes, en lugar de ser dirigidos a tu sitio web cuando escriben tu dominio en un navegador web, son dirigidos al servidor de otra persona sin ni siquiera saber que algo ha ido mal. Los atacantes pueden utilizar el secuestro del DNS para realizar esquemas de phishing, enviar anuncios no solicitados, monitorizar el tráfico web y bloquear el acceso a dominios específicos.

Si te preocupa la integridad y la reputación de tu sitio web, deberías preocuparte por el protocolo DNSSEC.

Novedad: Universal DNSSEC

DNSSEC añade una capa de seguridad a un protocolo que, de otro modo, sería inseguro, ya que verifica los registros DNS mediante firmas criptográficas. Al comprobar la firma asociada a un registro, los solucionadores de DNS pueden verificar que la información solicitada procede de su servidor de nombres autoritativo y no de un atacante "Man-in-the-middle". Con el DNSSEC, quienes visiten tu dominio tienen la garantía de que verán el contenido de tu sitio web y no el del servidor web de otra persona.

Con Universal DNSSEC, tu propiedad web se beneficiará de:

  • Protección contra los ataques de tipo "Man in the middle" al DNS.
  • Protección contra la enumeración de zonas DNS.
  • Una solución fácil de usar para cumplir con los requisitos TLD de .bank, .trust, y .gov.

DNSSEC evita los ataques de tipo "Man in the middle" estableciendo una cadena de confianza hasta los servidores de nombres DNS raíz. Esta cadena de confianza garantiza que los registros DNS que ha solicitado un visitante no han sido falsificados en ruta.

La implementación única del DNSSEC de Cloudflare aprovecha la criptografía de curva elíptica para evitar que los atacantes recorran tu zona y descubran registros DNS privados.

Los TLD como .bank y .trust están diseñados para que transmitan confianza a los visitantes. Esto se consigue exigiendo a los propietarios del dominio que sigan varios protocolos de seguridad, incluido el DNSSEC. Implementar el DNSSEC por tu cuenta puede ser un proceso difícil y propenso a errores. Cloudflare te permite responder a tus necesidades de DNSSEC con solo unos clics.

DNSSEC a escala

Cloudflare protege miles de millones de solicitudes al día con DNSSEC, es decir, cientos de millones de personas a la semana están protegidas del envenenamiento de caché DNS y de los ataques de tipo "Man in the middle".

Universal DNSSEC funciona en la red de Cloudflare, que ha resistido algunos de los mayores ataques DDoS del mundo. Hemos incluso adoptado precauciones especiales para asegurarnos de que no se abusa de nuestra implementación de DNSSEC para ataques de amplificación de DDoS. Te garantizamos que tus registros DNS se devuelven a los visitantes de forma rápida y eficaz, incluso cuando tu sitio web está siendo objeto de un ataque.

Cloudflare ayudó a Montecito Bank & Trust a proteger su dominio y a cumplir con los requisitos de la extensión .bank. Lee el caso práctico para saber más.

Cloudflare facilita el protocolo DNSSEC

Universal DNSSEC ya está disponible para todos los sitios web en Cloudflare de forma gratuita Nos encargamos de hacer todo el trabajo complicado firmando tu zona y gestionando las llaves. Protege tu dominio de las falsificaciones de DNS con solo unos clics. Todo lo que tienes que hacer es activar DNSSEC en tu panel de Cloudflare y añadir un registro DNS a tu registrador.

  1. Accede a tu panel de control Cloudflare.
  2. Abre la aplicación DNS.
  3. Desplázate hasta el módulo DNSSEC.
  4. Haz clic en Activar DNSSEC.
  5. Se abrirá una ventana emergente con instrucciones sobre cómo añadir el registro DS a tu registrador.
  6. Copia el registro DS y pégalo en el panel de control de tu registrador.

Una vez que tu registrador publique el registro DS, tu dominio tendrá habilitado DNSSEC. Puedes verificar la configuración de tu DNSSEC con la herramienta de terceros DNSViz.

Universal DNSSEC es compatible con todas las demás funciones de seguridad y rendimiento de Cloudflare, como Universal SSL, la CDN global y la optimización automática de contenido web.

Configurar Cloudflare es fácil



Configura un dominio en menos de 5 minutos sin cambiar tu proveedor de alojamiento ni realizar cambios de código.


Contamos con la confianza de millones de propiedades de Internet