El sistema de nombres de dominio (DNS) es la guía telefónica de Internet: indica a los equipos dónde enviar y recuperar información. Desafortunadamente, también acepta cualquier dirección que se le dé, sin hacer preguntas.
Los servidores de correo electrónico utilizan DNS para redirigir sus mensajes, lo que significa que son vulnerables a problemas de seguridad en la infraestructura DNS. En septiembre de 2014, los investigadores de CMU descubrieron que el correo electrónico que se debía enviar mediante los servidores Yahoo!, Hotmail y Gmail en realidad se redirigían a través de servidores de correo no autorizados. Los atacantes estaban aprovechando una vulnerabilidad de décadas de antigüedad en el sistema de nombres de dominio (DNS), en el que no se comprobaban las credenciales antes de aceptar una respuesta.
La solución es un protocolo llamado DNSSEC, que añade una capa de confianza sobre el DNS en la que se solicita autenticación. Cuando un solucionador DNS busca blog.cloudflare.com, los servidores de nombres .com ayudan a la resolución a verificar los registros que se devuelven para cloudflare y, a su vez, cloudflare asiste en la verificación de los registros que se envían para el blog. Los servidores de nombres de raíz DNS ayudan a verificar .com, y la información que publica la raíz se aprueba mediante un procedimiento de seguridad, que incluye la ceremonia de firma del certificado raíz.
Similar to HTTPS, DNSSEC adds a layer of security by enabling authenticated answers on top of an otherwise insecure protocol. Whereas HTTPS encrypts traffic so nobody on the wire can snoop on your Internet activities, DNSSEC merely signs responses so that forgeries are detectable. DNSSEC provides a solution to a real problem without the need to incorporate encryption.
Cloudflare’s goal is to make it as easy as possible to enable DNSSEC. All Cloudflare customers can add DNSSEC to their web properties by flipping a switch to enable DNSSEC and uploading a DS record (which we'll generate automatically) to their registrar.: Learn more about how to get DNSSEC.
We’ve also published an Internet Draft outlining an automated way for registries and registrars to upload DS records on behalf of our customers. This will enable Cloudflare to automatically enable DNSSEC for our entire community. Stay tuned for updates.