Assinatura de domínio (DNSSEC)
Por quê?
Abaixo você encontrará links com descrições de alguns incidentes conhecidos que o DNSSEC provavelmente poderia ter evitado.
- Cache-poisoning attack snares top Brazilian bank, The Register
- Eircom reveals cache poisoning attack by hacker led to outages, Siliconrepublic
- DNS cache poisonings foist malware* attacks on Brazilians*, The Register
- Probable Cache Poisoning of Mail Handling Domains, Carnegie Mellon University
- Neither Snow Nor Rain Nor MITM... An Empirical Analysis of Email Delivery Security, ACM Digital Library
Segue uma citação da última publicação de pesquisa relacionada acima:
"A segurança de e-mail, como a de muitos outros protocolos, está intrinsecamente ligada com a segurança da resolução de DNS. Em vez de direcionar o ataque ao protocolo SMTP, um atacante de rede ativo pode falsificar os registros DNS de um servidor de e-mail de destino para redirecionar as conexões SMTP para um servidor sob o controle do atacante. [...] Encontramos evidências de que 178.439 de 8.860.639 (2,01%) servidores DNS publicamente acessíveis forneceram IPs ou registros MX inválidos para um ou mais desses domínios."
Estatísticas
- .nl statistics, SIDN Labs
- DNSSEC Validation Rate by country (%), APNIC
- DNSSEC Deployment Report, ICANN
Mais informações
- DNS e DNSSEC, Registro.br
- KINDNS, ICANN
- DNSSEC, Internet Society
- KINDNS, ICANN
- DNSSEC: A cryptographic security extension to the DNS protocol, SIDN
- DNSSEC: DNS Security Extensions Securing the Domain Name System, Dnssec.net
- DNSSEC/TLSA Validator, CZ.NIC
- DNSSEC Policy and Practice Statement .nl, SIDN
- Domain Name System Security Extensions (DNSSEC), Wikipedia
Especificações
- RFC 4033: DNS Security Introduction and Requirements
- RFC 4034: Resource Records for the DNS Security Extensions
- RFC 4035: Protocol Modifications for the DNS Security Extensions
- RFC 8624: Algorithm Implementation Requirements and Usage Guidance for DNSSEC
- RFC 9276: Guidance for NSEC3 Parameter Settings