Por que verificar DNSSEC?
DNSSEC (DNS Security Extensions) adiciona uma camada de verificação criptográfica ao DNS. Sem DNSSEC, um atacante pode falsificar respostas DNS para redirecionar o tráfego para servidores maliciosos (cache poisoning).
Três razões para verificar seu DNSSEC:
- Segurança: Garantir que a cadeia de confiança está intacta e que os visitantes alcancem seus servidores
- Conformidade: Cada vez mais organizações exigem DNSSEC para domínios sensíveis
- Detecção de problemas: Identificar DS órfãos, algoritmos fracos ou assinaturas expiradas antes que causem interrupções
Como usar o DNSSEC Checker em 3 passos
Passo 1: Insira seu domínio
Insira o nome de domínio a verificar (por exemplo cloudflare.com ou nic.fr). A ferramenta aceita qualquer domínio, esteja ele assinado com DNSSEC ou não.
Passo 2: Analise o relatório zona por zona
A ferramenta percorre a cadeia de confiança desde a raiz DNS:
- Raiz (.): Verificação dos trust anchors
- TLD (ex: .com): Verificação dos DS e DNSKEY do TLD
- Seu domínio: Verificação dos DS, DNSKEY e RRSIG
Para cada zona, você vê os registros DS, DNSKEY e assinaturas RRSIG com seu status de validação.
Passo 3: Corrija os problemas detectados
O relatório identifica claramente:
- Os erros (cadeia quebrada, assinaturas inválidas)
- Os avisos (DS órfãos, algoritmos fracos)
- As informações (CSK detectada, NS fora de bailiwick)
O que é a cadeia de confiança DNSSEC?
A cadeia de confiança DNSSEC funciona como uma série de verificações em cascata:
Raiz (.)
|-- DS do TLD --> verifica a DNSKEY do TLD
|-- A ZSK do TLD assina o DS do seu domínio
|-- DS do seu domínio --> verifica sua DNSKEY (KSK)
|-- Sua KSK assina o DNSKEY RRSet
|-- Sua ZSK assina os dados (A, MX, SOA, NS)
Cada elo depende do anterior. Se um único estiver quebrado, toda a validação falha.
O que a ferramenta verifica exatamente?
| Elemento | Descrição | Resultado |
|---|---|---|
| DS Records | Registros DS publicados no parent | Correspondência com DNSKEY, órfãos, digest fraco |
| DNSKEY Records | Chaves públicas da zona (KSK/ZSK) | Presença, algoritmo, associação DS |
| RRSIG no DS | Assinatura do DS RRSet pela ZSK do parent | Validade criptográfica |
| RRSIG no DNSKEY | Assinatura do DNSKEY RRSet pela KSK | Validade criptográfica |
| Algoritmos | Tipo de algoritmo de assinatura | Detecção de algoritmos depreciados (RFC 8624) |
| Digests DS | Tipo de hash do DS | Detecção de SHA-1 depreciado |
Diagnósticos comuns e soluções
DS órfão (DNSSEC_DS_ORPHAN)
Sintoma: Um registro DS está publicado no parent mas nenhuma DNSKEY correspondente existe na sua zona.
Causa provável: Rotação de chaves incompleta ou chave antiga removida antes do DS.
Ação: Remova o DS órfão no seu registrador, ou adicione a DNSKEY correspondente na sua zona.
Algoritmo fraco (DNSSEC_WEAK_ALGO)
Sintoma: Sua zona utiliza um algoritmo de assinatura considerado inseguro.
Ação: Planeje uma migração para ECDSAP256SHA256 (algoritmo 13) ou ED25519 (algoritmo 15).
Digest SHA-1 (DNSSEC_WEAK_DIGEST)
Sintoma: Seu DS utiliza SHA-1 como tipo de digest.
Ação: Adicione um DS com SHA-256 (tipo 2) em paralelo, depois remova o DS SHA-1 após a propagação ser concluída.
Ferramentas complementares
| Ferramenta | Utilidade |
|---|---|
| DNS Domain Check | Auditoria completa da configuração DNS incluindo verificação DNSSEC básica |
| DNS Lookup | Consultar manualmente os registros DS, DNSKEY ou RRSIG |
| DNS Propagation Test | Verificar a propagação das modificações DNSSEC ao redor do mundo |
Recursos úteis
- RFC 4033 - DNS Security Introduction: Introdução às extensões DNSSEC
- RFC 8624 - Algorithm Implementation Requirements: Requisitos sobre algoritmos DNSSEC
- Verisign DNSSEC Debugger: Ferramenta de referência para debug DNSSEC
- DNSViz: Visualização avançada da cadeia DNSSEC