Defaults.Exposed

Defaults.Exposed › Relatórios

O Que É o DNSSEC — e Precisa Mesmo Dele? (2026)

Publicado 2026-07-01

Valores de 2026-06-29 · metodologia v7. Dados agregados do censo abrangendo 261 milhões de domínios avaliados. O DNSSEC acrescenta assinaturas criptográficas ao DNS para que um resolver possa provar que uma resposta veio realmente de si e não foi adulterada. Veja como avaliamos.

O DNSSEC carimba cada resposta de DNS do seu domínio com uma assinatura, de modo que um atacante não possa trocá-la discretamente por uma falsa e enviar os seus visitantes para outro lado. É um dos controlos menos adotados na web: apenas 1,99% dos 261 milhões de domínios têm uma cadeia assinada válida. É também um dos poucos em que uma configuração incorreta é pior do que nenhuma — 3,02% dos domínios estão assinados mas com falhas, o que pode torná-los inacessíveis. Aqui fica o que faz e se precisa dele.

Contra o que o DNSSEC realmente protege

O DNS simples não tem forma de provar que uma resposta é genuína. Isso abre a porta ao envenenamento de cache e ao spoofing de DNS no caminho (on-path) — um atacante fornece a um resolver um registo forjado e aponta os seus visitantes, ou o seu correio eletrónico, para o servidor dele, sem qualquer aviso de certificado que o denuncie. O DNSSEC fecha essa lacuna ao assinar os registos, de modo que um resolver validador rejeita tudo o que não se verifique.

O que não faz: não encripta o DNS, não protege o próprio site e não substitui o HTTPS, o DMARC ou o CAA. É uma camada — integridade para as respostas de DNS.

O panorama da adoção

Por terminação de domínio, o DNSSEC válido varia bastante: 18,38% em .se, 11,86% em .nl, 14,62% em .cz — contra apenas 1,62% em .com.

Precisa dele?

Como ativá-lo em segurança

  1. Utilize um fornecedor de DNS que automatize o DNSSEC — assinatura e rotações de chave tratadas por si (a maioria dos grandes fornecedores já faz isto num clique). Veja corrigir o DNSSEC.
  2. Ative a assinatura e depois publique o registo DS no seu registrar para completar a cadeia de confiança.
  3. Valide que a cadeia se resolve antes de sair — um domínio assinado mas com falhas é pior do que um não assinado.
  4. Nunca faça a gestão manual das chaves, a menos que tenha as ferramentas para as rodar de forma fiável.

Perguntas frequentes

O que é o DNSSEC em termos simples? É um conjunto de assinaturas digitais nos seus registos de DNS para que os resolvers possam provar que a resposta é genuína e não foi forjada em trânsito.

Preciso mesmo do DNSSEC? É mais valioso para domínios de alto risco e onde a conformidade o exige. Para todos os restantes é um bom passo de reforço se o seu fornecedor de DNS o automatizar — o principal risco é uma configuração incorreta, que 3,02% dos domínios têm atualmente.

O DNSSEC encripta o meu DNS? Não. Prova a integridade (a resposta é autêntica), mas não oculta a consulta. Isso é uma tecnologia diferente (DoH/DoT).

O DNSSEC pode avariar o meu site? Uma assinatura com falhas ou expirada pode tornar o seu domínio irresolúvel para qualquer pessoa que utilize um resolver validador. É por isso que a assinatura e a rotação de chaves automatizadas importam.

O DNSSEC é gratuito? Sim, na maioria dos fornecedores de DNS modernos — é uma definição, não uma compra.

Verifique gratuitamente o DNSSEC do seu domínio

Veja se o seu domínio está assinado, válido e corretamente encadeado — de forma privada e apenas para o proprietário.

Verifique o seu domínio → · Corrigir o DNSSEC → · O DNSSEC obrigatório funciona? → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.