Defaults.Exposed › Relatórios
O Que É o DNSSEC — e Precisa Mesmo Dele? (2026)
Publicado 2026-07-01
Valores de 2026-06-29 · metodologia v7. Dados agregados do censo abrangendo 261 milhões de domínios avaliados. O DNSSEC acrescenta assinaturas criptográficas ao DNS para que um resolver possa provar que uma resposta veio realmente de si e não foi adulterada. Veja como avaliamos.
O DNSSEC carimba cada resposta de DNS do seu domínio com uma assinatura, de modo que um atacante não possa trocá-la discretamente por uma falsa e enviar os seus visitantes para outro lado. É um dos controlos menos adotados na web: apenas 1,99% dos 261 milhões de domínios têm uma cadeia assinada válida. É também um dos poucos em que uma configuração incorreta é pior do que nenhuma — 3,02% dos domínios estão assinados mas com falhas, o que pode torná-los inacessíveis. Aqui fica o que faz e se precisa dele.
Contra o que o DNSSEC realmente protege
O DNS simples não tem forma de provar que uma resposta é genuína. Isso abre a porta ao envenenamento de cache e ao spoofing de DNS no caminho (on-path) — um atacante fornece a um resolver um registo forjado e aponta os seus visitantes, ou o seu correio eletrónico, para o servidor dele, sem qualquer aviso de certificado que o denuncie. O DNSSEC fecha essa lacuna ao assinar os registos, de modo que um resolver validador rejeita tudo o que não se verifique.
O que não faz: não encripta o DNS, não protege o próprio site e não substitui o HTTPS, o DMARC ou o CAA. É uma camada — integridade para as respostas de DNS.
O panorama da adoção
- 1,99% assinados e válidos.
- 3,02% assinados mas com falhas — uma assinatura que não passa a validação, o que pode indisponibilizar o domínio para qualquer pessoa que utilize um resolver validador. É este o risco que deixa as pessoas cautelosas.
- Onde um registo o promove ativamente, a adesão é muito mais elevada: as terminações de país impulsionadas pelo registo atingem 9,1% válidos, contra 1,3% nas restantes terminações de país. A adoção é uma alavanca de política, não um limite técnico. Veja o DNSSEC obrigatório funciona e o paradoxo do DNSSEC.
Por terminação de domínio, o DNSSEC válido varia bastante: 18,38% em .se, 11,86% em .nl, 14,62% em .cz — contra apenas 1,62% em .com.
Precisa dele?
- Domínios de maior valor ou visados — bancos, governo, infraestruturas, tudo onde redirecionar utilizadores ou correio seja um prémio sério — são os que mais beneficiam.
- Organizações orientadas por conformidade — o DNSSEC surge cada vez mais em questionários de segurança e em algumas regras setoriais.
- Todos os restantes — é um passo de reforço razoável se o seu fornecedor de DNS o tornar num clique e gerir as rotações de chave por si. Se ativá-lo significar gerir chaves à mão que pode errar, o risco de assinatura com falhas é real — faça-o onde estiver automatizado.
Como ativá-lo em segurança
- Utilize um fornecedor de DNS que automatize o DNSSEC — assinatura e rotações de chave tratadas por si (a maioria dos grandes fornecedores já faz isto num clique). Veja corrigir o DNSSEC.
- Ative a assinatura e depois publique o registo DS no seu registrar para completar a cadeia de confiança.
- Valide que a cadeia se resolve antes de sair — um domínio assinado mas com falhas é pior do que um não assinado.
- Nunca faça a gestão manual das chaves, a menos que tenha as ferramentas para as rodar de forma fiável.
Perguntas frequentes
O que é o DNSSEC em termos simples? É um conjunto de assinaturas digitais nos seus registos de DNS para que os resolvers possam provar que a resposta é genuína e não foi forjada em trânsito.
Preciso mesmo do DNSSEC? É mais valioso para domínios de alto risco e onde a conformidade o exige. Para todos os restantes é um bom passo de reforço se o seu fornecedor de DNS o automatizar — o principal risco é uma configuração incorreta, que 3,02% dos domínios têm atualmente.
O DNSSEC encripta o meu DNS? Não. Prova a integridade (a resposta é autêntica), mas não oculta a consulta. Isso é uma tecnologia diferente (DoH/DoT).
O DNSSEC pode avariar o meu site? Uma assinatura com falhas ou expirada pode tornar o seu domínio irresolúvel para qualquer pessoa que utilize um resolver validador. É por isso que a assinatura e a rotação de chaves automatizadas importam.
O DNSSEC é gratuito? Sim, na maioria dos fornecedores de DNS modernos — é uma definição, não uma compra.
Verifique gratuitamente o DNSSEC do seu domínio
Veja se o seu domínio está assinado, válido e corretamente encadeado — de forma privada e apenas para o proprietário.
Verifique o seu domínio → · Corrigir o DNSSEC → · O DNSSEC obrigatório funciona? → · Como avaliamos → · Apenas dados agregados. Dados armazenados e processados na UE.