O DNSSEC melhora a confiança e a integridade do DNS. Frequentemente chamado de lista telefônica da internet, o DNS traduz nomes de domínio em endereços numéricos da internet. No entanto, o DNS é um protocolo fundamentalmente inseguro. Ele não garante de onde os registros de DNS vêm e aceita qualquer endereço fornecido a ele, sem perguntas.
Após ler este artigo, você será capaz de:
Copiar o link do artigo
A Cloudflare oferece DNSSEC fácil de usar, e leva apenas alguns minutos para ser instalado.
Inscreva-se agora
O DNSSEC adiciona uma camada de segurança a um protocolo inseguro, verificando os registros de DNS usando assinaturas criptográficas. Ao verificar a assinatura associada a um registro, os resolvedores de DNS podem verificar se as informações solicitadas vêm de seu nameserver autoritativo e não de um invasor man-in-the-middle. Com o DNSSEC, aqueles que visitam seu domínio têm a garantia de ver o conteúdo do seu site e não do servidor web de outra pessoa.
Saiba mais sobre como funciona o DNSSEC.
O envenenamento de cache de DNS e a falsificação de respostas têm sido uma vulnerabilidade conhecida na infraestrutura global de DNS desde o início do DNS, por exemplo, o conhecido ataque Kaminsky. O envenenamento de cache ocorre quando um invasor engana um nameserver de DNS para armazenar registros incorretos. Até que a entrada de cache expire, esse nameserver retornará os registros de DNS falsos para todos os outros que solicitarem.
Isso permite que um invasor sequestre o tráfego para seu site. Em vez de ser direcionado para seu site quando digitam seu domínio em um navegador da web, seus visitantes são direcionados para o servidor de outra pessoa, sem nem mesmo saber que algo deu errado. Os invasores podem usar o sequestro de DNS para esquemas de phishing, veicular anúncios não solicitados, monitorar o tráfego da web e bloquear o acesso a domínios específicos.
Se você se preocupa com a integridade e a reputação do seu site, deve se preocupar com o DNSSEC.
O DNSSEC adiciona uma camada de segurança a um protocolo inseguro, verificando os registros de DNS usando assinaturas criptográficas. Ao verificar a assinatura associada a um registro, os resolvedores de DNS podem verificar se as informações solicitadas vêm de seu nameserver autoritativo e não de um invasor man-in-the-middle. Com o DNSSEC, aqueles que visitam seu domínio têm a garantia de ver o conteúdo do seu site e não do servidor web de outra pessoa.
Com o Universal DNSSEC, seu ativo da web será beneficiado com:
O DNSSEC evita ataques man-in-the-middle, estabelecendo uma cadeia de confiança até os nameservers de raiz de DNS. Esta cadeia de confiança assegura que os registros de DNS solicitados por um visitante não tenham sido adulterados durante o trajeto.
A implementação exclusiva de DNSSEC da Cloudflare aproveita a elliptic curve cryptography para evitar que invasores percorram sua zona e descubram registros de DNS privados.
Domínios de nível superior (TLDs) como .bank e .trust são projetados para transmitir confiança aos visitantes. Isto é conseguido exigindo que os proprietários do domínio sigam vários protocolos de segurança, incluindo o DNSSEC. A implementação do DNSSEC por conta própria pode ser um processo difícil e sujeito a erros. A Cloudflare permite que você preencha seus requisitos do DNSSEC com apenas alguns cliques.
A Cloudflare protege bilhões de solicitações por dia com DNSSEC. São centenas de milhões de pessoas por semana protegidas contra envenenamento de cache de DNS e ataques man-in-the-middle.
O Universal DNSSEC é construído sobre a rede da Cloudflare, que resistiu a alguns dos maiores ataques DDoS do mundo. Tomamos precauções especiais até mesmo para garantir que nossa implementação de DNSSEC não seja abusada para ataques de amplificação de DDoS. Você pode ter certeza de que seus registros de DNS são devolvidos aos visitantes de forma rápida e eficiente, mesmo quando seu site está sob ataque.
A Cloudflare ajudou o Montecito Bank & Trust a proteger seu domínio e cumprir os requisitos da extensão .bank. Leia nosso estudo de caso para saber mais
O Universal DNSSEC agora está disponível gratuitamente para todos os sites da Cloudflare. Fazemos todo o trabalho pesado assinando sua zona e gerenciando as chaves. Proteger seu domínio contra falsificações de DNS está a apenas alguns cliques. Tudo o que você precisa fazer é habilitar o DNSSEC em seu painel da Cloudflare e adicionar um registro de DNS ao seu registrador.
Assim que seu registrador publicar o registro DS, seu domínio será habilitado para DNSSEC. Você pode verificar sua configuração de DNSSEC com a ferramenta DNSViz de terceiros. O Universal DNSSEC foi projetado para funcionar perfeitamente com todos os outros recursos de segurança e desempenho da Cloudflare, incluindo Universal SSL, CDN global e otimização automática de conteúdo da web.