Como adicionar proteções à zona raiz usando o ZONEMD

17/08/2023

Como adicionar proteções à zona raiz usando o ZONEMD

Este artigo foi escrito por Duane Wessels, Verisign Fellow. Publicado originalmente no Blog de Verisign.

A zona raiz do Sistema de Nomes de Domínio (DNS) terá em breve um novo tipo de registro para garantir ainda mais segurança, estabilidade e resiliência ao DNS global diante das novas abordagens emergentes para a operação do DNS —os registros ZONEMD—. Embora essa mudança seja imperceptível para a grande maioria dos operadores do DNS (por exemplo, registradores, provedores de serviços da Internet e organizações em geral), fornece uma camada adicional valiosa de segurança criptográfica para garantir a confiabilidade dos dados da zona raiz.

Nesta nota vamos discutir essas novas propostas, bem como os registros ZONEMD. Compartilharemos os planos de implantação, como estes podem afetar determinados usuários e o que os operadores do DNS precisam considerar de antemão para garantir que as interrupções sejam mínimas ou inexistentes.

O SISTEMA DE SERVIDORES RAIZ

A zona raiz do DNS é o ponto de partida para a maioria das buscas de nomes de domínio na Internet. A zona raiz contém delegações para quase 1500 domínios de nível superior, incluindo .com, .net, .org e muitos outros. Desde a sua criação em 1984, diferentes organizações conhecidas coletivamente como operadores de servidores raiz fornecem o serviço para o que agora chamamos de sistema de servidores raiz (RSS, por sua sigla em inglês). Nesse sistema, um número infindável de servidores responde diariamente a cerca de 80 bilhões de consultas à zona raiz.

Embora o RSS continue desempenhando esse papel com alto grau de confiabilidade, existem propostas recentes para usar a zona raiz de uma forma um pouco diferente. Mesmo que essas propostas gerem algumas eficiências para os operadores do DNS, elas também apresentam novos desafios.

NOVAS PROPOSTAS

(Acesso livre, não requer assinatura)

Em 2020, a Internet Engineering Task Force (IETF) publicou o RFC 8806, Running a Root Server Local to a Resolver. Na mesma linha, em 2021, o Escritório do Diretor de Tecnologia da Corporação da Internet para a Designação de Nomes e Números (ICANN OCTO, por sua sigla em inglês) publicou o documento OCTO-027, Hyperlocal Root Zone Technical Analysis. As duas propostas compartilham a ideia de que os servidores de nomes recursivos podem receber e carregar toda a zona raiz localmente e responder diretamente às consultas para a zona raiz.

Mas em um cenário em que toda a zona raiz está disponível para milhões de servidores de nomes recursivos, surge uma nova pergunta: como os consumidores de dados de uma zona podem verificar que o conteúdo da zona não foi modificado antes de chegar aos seus sistemas?

Poderia se pensar que as extensões de segurança para o DNS (DNSSEC) ajudariam. No entanto, embora a zona raiz esteja sim assinada com DNSSEC, a maioria dos registros da zona são considerados não autoritativos (quer dizer, todos os registros NS e glue) e, portanto, não possuem assinaturas. O que acontece com algo como uma assinatura Pretty Good Privacy (PGP) no arquivo da zona raiz? Isso apresenta seu próprio desafio: no PGP, a assinatura se separa facilmente dos dados. Por exemplo, não há como incluir uma assinatura PGP sobre uma transferência de zona DNS e não há maneira fácil de saber qual versão da zona acompanha a assinatura.

As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.

Inscrever-se
Notificar de

0 Comments
mais antigos
mais recentes Mais votado
Feedbacks embutidos
Ver todos os comentários