DNSSEC para registradores

En Cloudflare, nos entusiasma la idea de mejorar la seguridad de Internet a través del despliegue masivo de nuestra reciente implementación de DNSSEC. El DNSSEC universal de Cloudflare proporciona autenticación a un DNS que de otro modo sería inseguro, impidiendo los ataques de tipo "man-in-the-middle" y ofreciendo a los visitantes la garantía de que su conexión se dirige de forma segura al servidor correcto.

La cadena de confianza en DNSSEC es vertical (la zona raíz verifica el .com y la zona .com verifica la zona cloudflare.com, y así sucesivamente), por eso la activación de DNSSEC requiere que el propietario de un sitio web actualice el registro DS contigo, el registrador.

Esta parte es problemática. Copiar y pegar el registro DS abre la posibilidad de un error humano, y agrega una capa de complejidad para los usuarios menos expertos. Queremos que la implementación de DNSSEC sea lo más fácil posible.

Si Cloudflare se pudiera comunicar directamente con el registrador o el registro, podríamos activar el DNSSEC para cada sitio web en Cloudflare de forma automática y gestionar sus claves sin intervención del usuario.

Como parte de la implementación de nuestro DNSSEC, publicamos un borrador de Internet junto a CIRA, el registro .ca, que propone un protocolo para que los operadores de DNS como Cloudflare hagan precisamente eso, comunicarse con los registradores y los registros para automatizar la gestión del DNSSEC.