Assinatura de domínio (DNSSEC)

Por quê?

Abaixo você encontrará links com descrições de alguns incidentes conhecidos que o DNSSEC provavelmente poderia ter evitado.

• Cache-poisoning attack snares top Brazilian bank, The Register
• Eircom reveals cache poisoning attack by hacker led to outages, Siliconrepublic
• DNS cache poisonings foist malware* attacks on Brazilians*, The Register
• Probable Cache Poisoning of Mail Handling Domains, Carnegie Mellon University
• Neither Snow Nor Rain Nor MITM... An Empirical Analysis of Email Delivery Security, ACM Digital Library

Segue uma citação da última publicação de pesquisa relacionada acima:

"A segurança de e-mail, como a de muitos outros protocolos, está intrinsecamente ligada com a segurança da resolução de DNS. Em vez de direcionar o ataque ao protocolo SMTP, um atacante de rede ativo pode falsificar os registros DNS de um servidor de e-mail de destino para redirecionar as conexões SMTP para um servidor sob o controle do atacante. [...] Encontramos evidências de que 178.439 de 8.860.639 (2,01%) servidores DNS publicamente acessíveis forneceram IPs ou registros MX inválidos para um ou mais desses domínios."

Estatísticas

• .nl statistics, SIDN Labs
• DNSSEC Validation Rate by country (%), APNIC
• DNSSEC Deployment Report, ICANN

Mais informações

• DNS e DNSSEC, Registro.br
• DNSSEC, Internet Society
• DNSSEC Policy and Practice Statement .nl, SIDN
• DNSSEC: DNS Security Extensions Securing the Domain Name System, Dnssec.net
• DNSSEC/TLSA Validator, CZ.NIC
• Domain Name System Security Extensions (DNSSEC), Wikipedia

Especificações

• RFC 4033: DNS Security Introduction and Requirements
• RFC 4034: Resource Records for the DNS Security Extensions
• RFC 4035: Protocol Modifications for the DNS Security Extensions