O que é DNSSEC e como ele funciona?

O DNSSEC (Extensões de Segurança do Sistema de Nomes de Domínio) acrescenta uma camada crucial de segurança ao Sistema de Nomes de Domínio (DNS), que traduz os nomes de domínio em endereços IP. No entanto, o sistema DNS é vulnerável a ciberataques como o DNS spoofing e envenenamento da cache do DNS. Ouviram bem. Estes ataques podem redirecionar os utilizadores para sítios Web maliciosos, conduzindo ao roubo de dados ou a perdas financeiras.

De acordo com o Relatório de Ameaça Global ao DNS da IDCda IDC, em 2022, 88% das empresas relataram que enfrentaram um ataque de DNS que lhes custou, em média, US$ 942.000. O DNSSEC ajuda a evitar esses ataques, garantindo que você se conecte apenas a sites legítimos.

Por isso, se está preocupado em manter a sua presença online segura, eis tudo o que precisa de saber sobre o DNSSEC.

O que é o DNSSEC?

O DNSSEC acrescenta uma camada de segurança ao DNS que verifica se estas informações estão corretas e não foram adulteradas por atacantes. O DNSSEC é uma extensão do protocolo DNS concebida para adicionar funcionalidades de segurança que protegem o DNS de vários tipos de ataques informáticos. 

O DNS funciona como o diretório da Internet que traduz nomes como "exemplo.com" em endereços IP que os computadores utilizam para se ligarem. No entanto, o DNS padrão não foi construído tendo a segurança como prioridade máxima, o que foi um erro, pois tornou-o vulnerável a diferentes ciberataques.

Um aspeto a esclarecer é que o DNSSEC não foi concebido para encriptar dados, mas apenas para garantir a exatidão e autenticidade das respostas do DNS. Por este motivo, tornou-se uma ferramenta necessária para proteger os utilizadores e as organizações contra ataques de phishing, ataques man-in-the-middle e outras ameaças à segurança.

Simplifique o DNSSEC com o PowerDMARC!

Porque é que o DNSSEC é importante para a cibersegurança

As organizações que adoptam o DNSSEC protegem-se a si próprias e aos seus utilizadores de determinados ciberataques. As ciberameaças estão a tornar-se mais sofisticadas de dia para dia. Estudos revelam que, dos 88% de empresas que foram atacadas, 31% delas sofreram danos na marca, o que significa que os consumidores perderam a confiança na sua marca. Isto mostra o quão devastador pode ser se não forem utilizadas medidas preventivas.

A implementação do DNSSEC é um passo proactivo na defesa contra ameaças em evolução e na manutenção de um ambiente digital seguro para as organizações e os seus clientes. 

Como é que o DNSSEC funciona?

Eis como funciona o DNSSEC, passo a passo:

1. Adicionar assinaturas digitais a registos DNS

Quando um domínio é protegido com DNSSEC, os seus registos DNS (como os registos A, MX ou TXT) são assinados digitalmente. Estas assinaturas criptográficas são criadas utilizando criptografia de chave pública. O proprietário do domínio gera um par de chaves criptográficas quando o DNSSEC é utilizado.

• A chave privada é utilizada para assinar dados DNS, criando registos DNSKEY. Gera uma assinatura digital única para cada registo.
• No DNSSEC, as chaves de assinatura de zona (chaves públicas) são publicadas no sistema DNS para que qualquer pessoa possa verificar as assinaturas digitais nos registos DNS. Isto garante a autenticação criptográfica e a integridade dos dados das respostas do DNS.

2. O resolvedor DNS solicita um domínio

Quando um utilizador tenta visitar um sítio Web, o seu dispositivo envia um pedido a um resolvedor de DNS para encontrar o endereço IP associado ao nome de domínio no espaço de nomes DNS. O processo de resolução do DNS começa quando um utilizador introduz um nome de domínio no seu browser. O browser envia uma consulta DNS recursiva para um resolvedor recursivo, normalmente gerido pelo ISP. 

Se o resolvedor não tiver o endereço IP em cache, consulta uma série de servidores: Servidores de nomes de raiz DNS, servidores de domínios de topo (TLD) e servidores de nomes autoritativos. Estes servidores colaboram para localizar o endereço IP correto, que é então enviado de volta para o resolvedor recursivo. 

O resolvedor coloca estas informações em cache para utilização futura e devolve o endereço IP ao browser do utilizador, permitindo o carregamento da página Web. Se o servidor autoritativo não conseguir encontrar as informações, devolve uma mensagem de erro, que em zonas com DNSSEC incluiria uma prova autenticada de negação de existência.

3. Verificação de assinaturas digitais

O resolvedor de DNS verifica se o domínio tem o DNSSEC ativado. Se tiver, o resolvedor utiliza a chave pública do par de chaves para verificar as assinaturas digitais nos registos DNS. Agora há dois casos neste cenário: 

• Se as assinaturas coincidirem, o resolvedor sabe que os dados DNS são autênticos e não foram adulterados. 
• Se as assinaturas não corresponderem de todo, o resolvedor rejeita a resposta. Protege o utilizador de se ligar a um sítio potencialmente malicioso. 

Se não souber os nomes dos seus registos DNS, utilize um verificador de registos DNS para os descobrir.

4. Cadeia de confiança

O DNSSEC funciona com base num conceito designado por "cadeia de confiança". No topo da cadeia está a zona de raiz do DNS, que é assinada digitalmente. 

Depois disso, cada nível da hierarquia DNS (por exemplo, raiz → .com → exemplo.com) valida o nível abaixo dele, criando uma cadeia segura. Tudo isto garante que cada resposta DNS provém de um servidor DNS autoritativo. 

5. Proteção contra ataques

Por último, o DNSSEC protege os utilizadores de ataques como: 

• Falsificação de DNS: Impede que os atacantes redireccionem os utilizadores para sites falsos. Para tal, assegura que as respostas DNS são autênticas.
• Envenenamento da cache: Impede que dados maliciosos sejam armazenados em resolvedores de DNS.

O que é que o DNSSEC faz?

O DNSSEC torna a Internet mais segura ao proteger os dados do protocolo DNS de serem adulterados. Como já sabe, o DNS converte nomes de domínio em endereços IP, mas não verifica a origem da informação. Este facto cria um risco de ataques que o DNSSEC tem a capacidade de resolver. 

Protege contra adulterações, verificando se ninguém alterou os dados do DNS durante a transmissão. Se os atacantes tentarem alterar as informações, o DNSSEC detecta-o e bloqueia a resposta. Isto ajuda os utilizadores a ligarem-se aos sítios Web corretos sem preocupações. 

O DNSSEC também confirma que os dados DNS provêm da fonte correta, utilizando uma âncora de confiança como base. Impede que os piratas informáticos se façam passar por servidores de nomes autorizados e redireccionem os utilizadores para sítios Web falsos. Além disso, cria confiança, especialmente em sectores como a banca ou os cuidados de saúde, em que a segurança é da máxima prioridade. 

Além disso, o DNSSEC suporta a conformidade com normas de segurança modernas. Muitas organizações e governos exigem atualmente o DNSSEC para cumprir os regulamentos de cibersegurança. Também incentiva as empresas a adotar ferramentas de segurança mais avançadas para proteger ainda mais as actividades em linha. 

Configuração do DNSSEC

A ativação do DNSSEC para o seu domínio é um passo importante para o proteger de ciberataques. Eis como pode configurá-lo num processo simples e passo a passo:

1. Aceder às definições de DNS do seu fornecedor de serviços de registo de domínios

Em primeiro lugar, inicie sessão na conta onde registou o seu nome de domínio. Agora, vá para a secção de definições de DNS. Esta é a parte da sua conta onde gere os tipos de registos DNS, como os registos A, CNAME ou MX. A maioria dos registadores tem uma opção separada denominada "DNSSEC" para facilitar a sua localização. 

2. Ativar DNSSEC

Procure uma opção para ativar o DNSSEC. Alguns agentes de registo podem até ter um botão ou um interrutor para o ativar. Depois de ativar o DNSSEC, o fornecedor de serviços de registo criará registos DNSSEC específicos para o seu domínio. Estes registos são necessários para os passos seguintes. 

3. Adicionar o registo DS às definições de DNS do seu domínio

Um registo DS (Delegation Signer record) é um tipo de registo DNS que liga o seu domínio ao sistema DNSSEC. O registo DS contém informações importantes, como chaves e algoritmos que verificam a configuração do DNSSEC. 

Copie os registos DS do registador e cole este registo nas suas definições de DNS na opção "Adicionar registo". No final, certifique-se de que colou o registo correto e o guardou. 

4. Verificar a configuração

Depois de ter adicionado o registo DS, verifique se o DNSSEC está a funcionar corretamente. Para isso, é necessário utilizar um verificador de DNSSEC de verificação de DNSSEC. Muitos agentes de registo também fornecem ferramentas de verificação incorporadas para confirmar a configuração.

A ferramenta que irá utilizar irá testar a sua configuração DNSSEC e mostrar se existem erros. Se tudo estiver correto, o seu domínio não está protegido por DNSSEC. 

Desafios e limitações do DNSSEC

Embora o DNSSEC aumente a segurança do DNS, não está isento de desafios. É importante compreender estas questões, que incluem:

1. Complexidade de implementação

Pode ser uma grande dor de cabeça configurar o DNSSEC, especialmente para pessoas que não estão familiarizadas com a gestão do DNS. Assim, se houver pequenos erros na configuração, podem ocorrer falhas na resolução do DNS.

2. Aumento do tamanho da resposta do DNS

O DNSSEC adiciona assinaturas digitais aos registos DNS. Aumenta significativamente o tamanho das respostas DNS e leva a problemas de desempenho, especialmente em redes mais lentas ou sistemas mais antigos. Desempenho do sítio Web, em particular tempo de resolução do DNSinfluencia significativamente a retenção de clientes num sítio em relação à mudança para um concorrente. A investigação da Google revela uma forte correlação entre o tempo de carregamento da página e as taxas de abandono dos utilizadores. Quando o tempo de carregamento da página aumenta de 1 para 3 segundos, a probabilidade de rejeição aumenta para 32% e, quando atinge os 5 segundos, a probabilidade sobe para 90%. Para otimizar a experiência do utilizador, o ideal é que a pesquisa no DNS demore menos de 100 ms, de preferência menos de 50 ms. Isto permite 1-2 segundos para que o conteúdo do sítio web seja carregado no browser.

Uma análise da cisco.com efectuada pelo webpagetest.org ilustra este conceito. A pesquisa inicial do DNS para cisco.com demora 25 ms, seguida de uma pesquisa subsequente para o endereço www.cisco.com que consome mais 33 ms. Estes tempos de resolução do DNS contribuem para o atraso global da ligação e para o tempo de carregamento da página, afectando diretamente a experiência do utilizador e o potencial envolvimento do cliente.

3. Falta de adoção generalizada

Apesar das suas vantagens, o DNSSEC não é utilizado em todo o mundo. De acordo com o relatório de 2023 da APNICapenas cerca de 40% dos domínios em todo o mundo o implementaram. Isto significa que não pode proteger os utilizadores que acedem a domínios não seguros, o que compromete a eficácia global do DNSSEC.

4. Sem encriptação de dados

Embora o DNSSEC garanta a integridade e autenticidade dos dados, não encripta as consultas ou respostas do DNS. Isto significa que o conteúdo dos pedidos de DNS ainda pode ser visto pelos atacantes. Isto deixa alguns aspectos da privacidade do utilizador desprotegidos. Para resolver este problema, as empresas utilizam frequentemente o DNSSEC juntamente com o DNS sobre HTTPS (DoH) ou o DNS sobre TLS (DoT).

5. Compatibilidade com o reencaminhamento do DNS

Reencaminhamento do DNSO reencaminhamento de DNS, que direciona as consultas de DNS de um servidor para outro, pode por vezes entrar em conflito com o DNSSEC. Se o servidor de reencaminhamento não validar as assinaturas DNSSEC, pode transmitir respostas não autenticadas. Isto enfraquece a segurança geral do sistema.

Vantagens da utilização do DNSSEC

O DNSSEC oferece várias vantagens para melhorar a segurança e a fiabilidade do DNS. Eis os principais benefícios da utilização do DNSSEC:

1. Protege contra ciberataques

O DNSSEC garante que os dados DNS não foram alterados ou forjados por atacantes. Ao assinar digitalmente os registos DNS, esta medida de segurança impede os ciberataques. Esta proteção é muito importante para proteger dados sensíveis e manter a confiança em linha. 

2. Aumenta a confiança nos serviços em linha

Com o DNSSEC, os utilizadores podem ter a certeza de que os sítios Web que visitam são autênticos. Isto é particularmente importante para sectores como a banca, os cuidados de saúde e o comércio eletrónico, onde a confiança é essencial. O DNSSEC cria uma cadeia de confiança desde os servidores de nomes DNS de raiz até aos domínios individuais, aumentando assim a confiança geral nos serviços da Internet. 

Para as instituições financeiras, o DNSSEC é de grande importância para proteger tanto os clientes como a instituição de actividades fraudulentas, especialmente dada a natureza sensível das transacções bancárias em linha. No comércio eletrónico, o DNSSEC garante que os clientes não são redireccionados para sítios Web maliciosos, protegendo assim as suas informações financeiras e evitando ataques de phishing. 

As organizações de cuidados de saúde também beneficiam muito com o DNSSEC. Isto porque acrescenta uma camada vital de proteção para salvaguardar as informações pessoais de saúde em serviços de saúde online e registos médicos.

3. Apoia a conformidade regulamentar

O DNSSEC é importante para as organizações cumprirem a conformidade regulamentar em estruturas de cibersegurança como o GDPR, HIPAA e NIST. Também é importante para a conformidade com DMARC uma vez que protege os registos de recursos DNS, como SPF e DKIM.

Ao implementar o DNSSEC, as organizações podem demonstrar o seu compromisso com práticas de segurança robustas e proteção de dados. Isto pode revelar-se particularmente benéfico durante auditorias e avaliações como parte dos processos de conformidade regulamentar. 

Além disso, o DNSSEC ajuda a evitar ataques de DNS spoofing e de envenenamento de cache, que são preocupações importantes para a privacidade e integridade dos dados. À medida que as ciberameaças continuam a evoluir, é provável que o papel do DNSSEC na manutenção de uma infraestrutura segura e em conformidade se torne ainda mais evidente e significativo.

4. Evita a interrupção da atividade

Os ciberataques ao DNS podem levar ao tempo de inatividade do sítio Web, à perda de confiança dos clientes e a perdas financeiras. O processo de validação do DNSSEC reduz o risco de tais ataques e ajuda as empresas a manter serviços ininterruptos.

Palavras finais

O DNSSEC é uma das ferramentas mais importantes para melhorar a segurança do seu domínio e protegê-lo contra ciberameaças. Garantir que os dados DNS são autênticos e estão protegidos contra adulterações ajuda a criar confiança e mantém os utilizadores seguros.

Se estiver a gerir um sítio Web ou um serviço online, deve considerar a implementação do DNSSEC para proteger o seu domínio.

Se já implementou o DNSSEC para o seu domínio, verifique-o agora utilizando a nossa ferramenta de verificação do DNSSEC - registe-se gratuitamente!

• Sobre
• Últimos Posts

Milena Baghdasaryan

Especialista em conteúdo na PowerDMARC

A Milena é uma escritora e criadora de conteúdos competente, com mais de 7 anos de experiência na elaboração de conteúdos cativantes sobre TI, cibersegurança, eventos virtuais e muito mais. Tem um historial comprovado de trabalhos de alta qualidade para revistas internacionais e é licenciada por instituições de prestígio como a New York University Abu Dhabi, a UWC China e o College of Europe.

Últimas mensagens de Milena Baghdasaryan (ver todas)

• Os 6 principais verificadores de SPF em 2025 - 13 de março de 2025
• Os 6 principais analisadores DMARC em 2025 - 12 de março de 2025
• Estratégia de e-mail e DMARC: como ficar à frente dos concorrentes em 2025 - 10 de março de 2025