O DNS (sistema de nomes de domínio) costuma ser considerado como a lista telefônica da internet, dizendo aos computadores para onde enviar e onde recuperar informações. Infelizmente, também aceita qualquer endereço que lhe for oferecido, sem questionar.
Os servidores de e-mail usam o DNS para rotear suas mensagens, o que significa que ficam vulneráveis a problemas de segurança na infraestrutura do DNS. Em setembro de 2014, pesquisadores da CMU encontraram e-mails supostamente enviados pelos servidores do Yahoo!, Hotmail e Gmail que, na verdade, estavam vindo de servidores de e-mail não autorizados. Os invasores estavam explorando uma vulnerabilidade muito antiga do DNS (Sistema de Nomes de Domínio): o sistema não verifica as credenciais antes de aceitar uma resposta.
A solução é um protocolo chamado DNSSEC, que adiciona uma camada de confiança ao DNS ao fornecer autenticação. Quando um resolvedor de DNS está procurando o subdomínio blog.cloudflare.com, os nameservers .com ajudam o resolvedor a verificar os registros retornados para a Cloudflare, enquanto a Cloudflare ajuda a verificar os registros retornados para o blog. Os nameservers do DNS raiz ajudam a verificar o domínio .com e as informações publicadas pelo raiz são confirmadas por um procedimento de segurança minucioso, incluindo a Cerimônia de Assinatura da Zona Raiz.
De modo semelhante ao HTTPS, o DNSSEC adiciona uma camada de segurança, permitindo respostas autenticadas acrescentadas a um protocolo que, caso contrário, seria inseguro. Enquanto o HTTPS criptografa o tráfego para que ninguém na rede possa espionar suas atividades na internet, o DNSSEC apenas assina as respostas para que as falsificações sejam detectáveis. O DNSSEC fornece uma solução para um problema real sem a necessidade de incorporar criptografia.
O objetivo da Cloudflare é facilitar o máximo possível a ativação do DNSSEC. No momento, os clientes com planos pagos da Cloudflare podem adicionar o DNSSEC às suas propriedades da web, alternando um botão de opção para habilitar o DNSSEC e carregando um registro DS (que geraremos automaticamente) no seu registrador registradores. Saiba mais sobre como obter o DNSSEC.
Também publicamos uma versão preliminar da internet que descreve uma maneira automatizada para registros e registrador registradores carregarem registros DS em nome de nossos clientes. Isso permitirá que a Cloudflare habilite automaticamente o DNSSEC para toda a nossa comunidade. Fique atento às atualizações.
Configure um domínio em menos de 5 minutos. Mantenha seu provedor de hospedagem. Não é necessária nenhuma alteração de código.