¿Qué es DNSSEC y cómo comprobamos si el dominio de la web que visitas lo soporta?

Escrito por Sergio De Luz
Redes

El protocolo DNS (Domain Name System) en Internet, como todos sabéis, se encarga de traducir los nombres de dominio en direcciones IP para realizar las peticiones al servidor correspondiente. Las peticiones que se realizan a través de DNS son en claro, no van cifradas ni tampoco se comprueba que el origen es correcto ni tampoco su integridad, por lo que cualquier atacante podría modificarlas y redirigirnos a webs maliciosas.

¿Qué es DNSSEC y cómo funciona?

El protoclo DNSSEC es una extensión del propio protocolo DNS aumentando su seguridad. Gracias a DNSSEC los clientes podrán obtener autenticación del origen de datos DNS, además también permite la integridad de estos datos haciendo que no se pueda modificar sin que lo sepamos. Todas las respuestas en DNSSEC son firmadas digitalmente, y el cliente DNS comprueba la firma digital para saber si la información recibida es idéntica a la información de los servidores DNS autorizados. Lo que no asegura DNSSEC es la disponibilidad ni tampoco la confidencialidad (las peticiones también se realizan sin cifrar como en DNS). Este protocolo fue diseñado para evitar ataques típicos como el envenenamiento de caché DNS y ataques de denegación de servicio ya que limita el número de peticiones máximo.

DNSSEC trabaja firmando digitalmente los registros para la búsqueda de DNS mediante criptografía de clave pública como RSA y DSA, además también hacen uso de algoritmos de hashing como SHA-1, SHA256 y SHA512 para proporcionar integridad (que los datos no se hayan modificado durante “el viaje”). El registro DNSKEY se autentica a través de una cadena de confianza tal que empieza en los DNS raíz.

Para poder navegar por Internet con el protocolo DNSSEC necesitamos utilizar unos servidores DNS que soporten este protocolo, por ejemplo los servidores DNS de Google (los conocidos 8.8.8.8 y 8.8.4.4) sí soportan el protocolo DNSSEC. Os recomendamos visitar la web de desarrolladores de Google donde se habla de la seguridad de DNSSEC.

¿Cómo comprobamos si un nombre de dominio es compatible con DNSSEC?

En el portal DNSSEC-Validator tenemos una extensión que nos permitirá conocer fácilmente si el dominio soporta DNSSEC. Actualmente esta extensión está disponible para diferentes navegadores web como Mozilla Firefox, Google Chrome y también Internet Explorer.

dnssec_validator

Una vez que hemos instalado la extensión, en la parte superior del navegador encontraremos unos iconos que nos indicarán si el dominio que estamos visitando soporta DNSSEC o no. Si por ejemplo entramos en el propio dominio de la herramienta, vemos que efectivamente el dominio sí soporta DNSSEC y que está en uso actualmente.

dnssec_validator_2

La extensión también se encarga de verificar que el certificado digital de la web se corresponde con el registro TLSA, el protocolo DANE se encarga de realizar esta función. Es posible que una web que sí soporta DNSSEC no tenga registro TLSA, por ejemplo en Cloudfare.com ocurre esto.

dnssec_validator_3

Esta extensión también nos informará si la web que estamos visitando no utiliza HTTPS o utiliza una firma digital no válida, entonces la propia extensión nos indicará que podríamos estar en peligro. Si por ejemplo visitamos Google.es, veremos que este dominio no está asegurado con DNSSEC y por tanto tampoco es posible verificar su certificado digital ya que el protocolo DANE necesita obligatoriamente que el dominio esté bajo DNSSEC.

dnssec_validator_4A continuación se puede ver como la autenticidad del certificado del servidor TLS/SSL no se puede comprobar debido a que no estamos utilizando DNSSEC.

dnssec_validator_5

En la propia extensión tenemos la posibilidad de utilizar un “resolver DNS” para la resolución de nombres de dominio, podremos seleccionar uno específico, usar los del propio sistema operativo o no usarlo.

dnssec_validator_6

En la web de DNSSEC-Validator tenéis todos los detalles sobre esta extensión y también sus enlaces para descargarla.

Otro método para saber si una web soporta DNSSEC es entrando en este portal de Verisign, poniendo el nombre del dominio nos indicará qué soporta exactamente. Por ejemplo la web de DNSSEC-Validator soporta DNSSEC y TLSA sin problemas, sin embargo CloudFare únicamente soporta DNSSEC.


Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10