Defaults.Exposed › Correções › DNSSEC

Como corrigir DNSSEC

O DNSSEC é um selo digital na lista de moradas do seu domínio. Permite à internet provar que a resposta à pergunta «onde vive este domínio?» veio realmente de si e não foi adulterada pelo caminho. Sem ele, a resposta pode ser forjada — e os seus visitantes enviados, sem o saberem, para outro lado.

O essencial para o seu negócio: Sem DNSSEC, um atacante que consiga envenenar uma resposta de DNS pode apontar os seus clientes para uma cópia perfeita do seu site enquanto o navegador deles continua a mostrar o seu nome de domínio real. Inícios de sessão, números de cartão e dados pessoais são colhidos, e só fica a saber pelos estornos e pelas queixas. Uma configuração de DNSSEC meio-feita e partida é ainda pior: pode tornar o seu site inacessível para uma fatia crescente de visitantes sem qualquer erro que o senhor alguma vez veja.

Quanto isto lhe pode custar

Visitantes que escrevem o seu domínio real são redirecionados silenciosamente para uma cópia parecida que captura a palavra-passe e os dados de cartão — e, como a barra de endereço mostra o seu domínio o tempo todo, ninguém suspeita de nada até chegarem as denúncias de fraude.
O seu e-mail é discretamente reencaminhado: um atacante forja a resposta dos seus servidores de correio, lê ou interceta mensagens e repõe palavras-passe em contas que lhe enviam um código por e-mail — tudo sem tocar na sua caixa de entrada.
Uma configuração de DNSSEC meio-feita (o selo público existe mas a chave correspondente falta) faz o seu site e o seu e-mail falharem aleatoriamente para clientes em grandes operadoras e redes empresariais — relatos intermitentes de «o seu site está em baixo para mim» que não consegue reproduzir.
A equipa de segurança de um potencial cliente faz uma verificação pré-contrato, não vê DNSSEC e marca-o como fraco nos fundamentos — pondo em risco um negócio por uma definição gratuita.
Compradores do setor público e B2B maiores esperam cada vez mais o DNSSEC como base (é nomeado em regulamentos como a NIS2); a sua ausência desqualifica-o discretamente de concursos antes mesmo de começar uma conversa.

Por que importa. O DNS é a lista de moradas da internet e, por omissão, as suas respostas viajam sem assinatura — quem conseguir introduzir uma resposta forjada pode enviar os seus clientes e o seu e-mail para onde quiser, com o seu domínio real ainda a aparecer no navegador. O DNSSEC põe um selo à prova de adulteração nessas respostas para que possam ser verificadas como genuinamente suas. A correção é gratuita na maioria dos fornecedores; o único custo real é fazê-la mal, e é por isso que percorremos as duas metades com cuidado.

DNSSEC, em palavras simples

Sempre que alguém visita o seu site ou lhe envia um e-mail, o computador faz primeiro à internet uma pergunta simples: «onde vive, de facto, este domínio?» A resposta — o conjunto de endereços do seu site e dos seus servidores de correio — vem do DNS, a lista de moradas da internet.

Eis a parte incómoda: por omissão, essas respostas viajam sem assinatura. Não há nada anexado que prove que a resposta é genuína. Se alguém conseguir introduzir uma resposta forjada nessa conversa — e há formas conhecidas e comprovadas de fazer exatamente isso — o computador do seu visitante aceitá-la-á de bom grado. A partir desse momento, o visitante pode estar a falar com o servidor de um atacante enquanto o navegador continua a mostrar o seu nome de domínio na barra de endereço.

O DNSSEC é a solução. Acrescenta um selo digital à prova de adulteração às suas respostas de DNS. Com o DNSSEC ativado, a internet pode verificar matematicamente que uma resposta veio realmente de si e não foi alterada pelo caminho. Uma resposta forjada falha a verificação e é deitada fora. É a diferença entre uma lista de moradas em que qualquer um pode rabiscar e uma em que cada entrada é assinada e testemunhada.

Esta página cobre as duas partes que a nossa verificação analisa em conjunto: se o selo está publicado (o registo DS) e se a chave correspondente por trás dele realmente existe (o registo DNSKEY). Verá daqui a pouco por que ambos importam — porque ter um sem o outro é o seu próprio tipo de problema.

O que isto lhe pode custar

São padrões realistas e agregados — não uma empresa nomeada em particular.

O redirecionamento invisível. Um atacante envenena a resposta de DNS do seu domínio. Os clientes escrevem o seu endereço web real, veem o seu domínio real na barra e aterram numa cópia impecável da sua página de início de sessão ou de checkout, alojada pelo atacante. Cada palavra-passe e número de cartão que introduzem vai diretamente para o criminoso. Só fica a saber quando começam os estornos e as chamadas de «fui pirateado através do seu site» — e o rasto leva à sua marca, não à do atacante.
Interceção silenciosa de e-mail. O DNS não aponta só para o seu site; aponta para os seus servidores de correio. Forje essa resposta e o e-mail recebido pode ser reencaminhado por um atacante primeiro. Ele lê mensagens sensíveis, colhe os códigos de uso único que os serviços enviam por e-mail para «confirmar que é o senhor» e repõe palavras-passe em contas ligadas ao seu domínio — tudo sem nunca iniciar sessão na sua caixa de correio.
A falha que não consegue reproduzir. Esta vem de uma configuração de DNSSEC meio-feita. O selo público (DS) está no seu registrar, mas a chave correspondente (DNSKEY) está em falta ou errada. Os visitantes em operadoras e redes empresariais que verificam o DNSSEC — e há mais a cada ano — simplesmente não conseguem resolver o seu domínio de todo. O seu site e e-mail funcionam bem para si e para a sua equipa, mas uma fatia de clientes reais recebe «não foi possível aceder a este site» sem qualquer erro que o senhor consiga ver. É um dos problemas mais difíceis de diagnosticar, precisamente porque é invisível de dentro.
O negócio perdido. A equipa de segurança ou de compras de um potencial cliente faz uma análise pré-contrato de rotina ao seu domínio. A ausência de DNSSEC aparece como uma marca vermelha no «básico de segurança de DNS». Para um controlo gratuito e bem compreendido, a sua ausência lê-se como descuido — e pode custar-lhe discretamente um contrato que nunca soube estar em risco.
O concurso a que nem sequer se qualifica. Os regulamentos e as listas de verificação dos compradores nomeiam cada vez mais o DNSSEC como higiene de base esperada (é referenciado nas disposições de segurança de DNS da NIS2). Compradores B2B maiores e do setor público podem filtrá-lo antes de começar uma conversa de vendas, simplesmente porque a caixa não está marcada.

O que isto é, na realidade

O DNSSEC funciona como uma cadeia de confiança, e tem duas partes móveis que têm de concordar uma com a outra. Este é o cerne do porquê de a nossa verificação analisar duas coisas.

O DNSKEY — a sua chave. O seu fornecedor de DNS detém uma chave criptográfica e usa-a para assinar os seus registos de DNS. A metade pública dessa chave é publicada como um registo DNSKEY. Pense nela como o carimbo do selo guardado do seu lado.

O registo DS — a impressão digital que atesta a chave. Uma impressão digital curta dessa chave, chamada registo DS (Delegation Signer), é publicada um nível acima — no registo do seu domínio, através do seu registrar. É isto que permite ao resto da internet confiar na sua chave: cada nível atesta o de baixo, até à raiz da internet. O DS é o selo a ser oficialmente registado para que todos os outros o possam reconhecer.

Para que o DNSSEC o proteja de facto, ambos têm de estar presentes e de corresponder:

DS presente + DNSKEY presente e correspondente → bom. A cadeia de confiança está completa. As respostas forjadas são rejeitadas; as legítimas verificam. Este é o estado «aprovado».
Sem DS (e sem DNSKEY) → o DNSSEC simplesmente não está ligado. Não tem proteção, mas nada está partido. Este é o estado «ainda não feito» mais comum. (Na nossa pontuação, é aqui que a verificação do DS conta contra si; a verificação combinada da chave trata um estado limpo e totalmente «desligado» como informativo, e não como uma falha grave, porque nada está ativamente a partir.)
DS presente, mas DNSKEY em falta ou sem correspondência → partido, e pior do que desligado. A internet vê um selo publicado que aponta para uma chave que não está lá. Os resolvedores que validam concluem que o seu domínio foi adulterado e recusam-se a resolvê-lo — causando as falhas intermitentes descritas acima. Este é o estado mais urgente a corrigir, e a nossa verificação assinala-o como severidade elevada.
DNSKEY presente, mas sem DS no registrar → ligado mas não ativado. Os seus registos estão assinados, mas como a impressão digital nunca foi registada um nível acima, o resto da internet não tem forma de confiar neles. Tem o trabalho sem a proteção. A correção é adicionar o registo DS no seu registrar.

O que é «bom», numa linha: um registo DS no seu registrar cuja impressão digital corresponde a um DNSKEY ativo no seu fornecedor de DNS, ambos confirmados com uma consulta rápida.

Como corrigir (gratuito, ~10 a 30 minutos)

Entregue esta secção a quem gere o seu domínio ou site. A correção em si é gratuita na maioria dos fornecedores — o único custo é fazê-la com cuidado para que as duas metades fiquem em sincronia. Só cobramos se mais tarde quiser que monitorizemos que se mantém corretamente ativada.

A regra de ouro: ative primeiro a assinatura (que cria o DNSKEY), depois publique o registo DS no registrar — nunca ao contrário, e nunca um sem o outro. Publicar um DS antes de a chave existir é exatamente o que causa as falhas.

O caminho simples (recomendado — Cloudflare):

Na Cloudflare, certifique-se de que a Cloudflare está mesmo a gerir o seu DNS (os seus nameservers apontam para a Cloudflare).
Vá a DNS → Settings → DNSSEC → Enable DNSSEC. A Cloudflare gera e gere as chaves por si (isto cria o lado do DNSKEY automaticamente).
A Cloudflare mostra-lhe os detalhes do registo DS para publicar no seu registrar.
Inicie sessão no seu registrar de domínio (p. ex. GoDaddy, Namecheap, OVH) e encontre a secção DNSSEC. Cole os valores DS que a Cloudflare lhe deu.
Aguarde 24 a 48 horas para a propagação completa. O seu site e e-mail continuam a funcionar.

Outros fornecedores de DNS (AWS Route 53, o seu alojamento web, etc.):

No painel de controlo do seu fornecedor de DNS, ative o DNSSEC / «assinar esta zona». Isto gera as chaves de assinatura e publica os registos DNSKEY.
Copie o registo DS que o fornecedor produz.
Adicione esse registo DS no seu registrar, nas suas definições de DNSSEC.
Confirme que o registrar o aceitou e aguarde a propagação.

Notas por plataforma:

Cloudflare — ativação com um clique, depois uma colagem de DS no registrar. O caminho mais fácil de longe.
AWS Route 53 — ative a assinatura DNSSEC na zona alojada, depois adicione o registo DS no registrar do seu domínio (se o domínio estiver registado na Route 53, a AWS pode ligá-lo por si).
Microsoft 365 / Google Workspace — estes gerem o seu e-mail, não normalmente a sua zona de DNS. O DNSSEC ativa-se onde os seus registos de DNS realmente vivem (muitas vezes o seu registrar, alojamento ou a Cloudflare), não no centro de administração do 365/Workspace.
O seu fornecedor de DNS não suporta DNSSEC de todo? É comum em alojamentos mais antigos ou económicos. A correção limpa é mover a gestão de DNS para um fornecedor que o suporte (a Cloudflare é gratuita), depois seguir o caminho simples acima. Mover o DNS não exige mover o seu site ou e-mail.

Confirme que funcionou:

Corra dig DS oseudominio.com e dig DNSKEY oseudominio.com — ambos devem devolver registos.
Ou use qualquer verificador de DNSSEC online gratuito e confirme uma cadeia de confiança verde/válida.
Não o considere feito até ambos devolverem registos correspondentes. Um DS sem DNSKEY é o estado partido — corrija-o ou remova-o de imediato.

Erros comuns

Publicar o DS antes de a chave existir. O erro mais danoso de todos: adicionar o registo DS no registrar antes de a assinatura estar mesmo ativa no fornecedor de DNS. Isto cria o estado «selo publicado, chave em falta» que torna o seu domínio irresolúvel para visitantes que verificam o DNSSEC. Ative sempre primeiro a assinatura, depois publique o DS.
Deixar um DS obsoleto para trás depois de mudar de fornecedor. Se migrar de fornecedor de DNS (ou desativar a assinatura) mas esquecer remover ou atualizar o registo DS antigo no registrar, fica a apontar para uma chave que já não existe — o mesmo resultado partido. Quando desligar o DNSSEC ou o mover, atualize o DS no registrar na mesma alteração.
Parar depois do primeiro passo. Ativar a assinatura no fornecedor de DNS (criar o DNSKEY) mas nunca adicionar o DS no registrar. Tudo parece «ligado» no painel de DNS, mas sem DS a proteção nunca ativa. Fez o trabalho e não teve nenhum dos benefícios.
Assumir que o HTTPS ou a autenticação de e-mail já o cobrem. O cadeado e a autenticação de e-mail (SPF / DKIM / DMARC) são valiosos mas resolvem problemas diferentes. Nenhum deles impede que uma resposta de DNS forjada envie os visitantes para o sítio errado, à partida.
Não monitorizar depois de ativar. As chaves são rodadas, os fornecedores mudam, os registos são editados. Uma configuração perfeita hoje pode partir silenciosamente meses depois. Se o DNSSEC importa o suficiente para ativar, vale a pena uma verificação periódica de que continua válido.

Onde isto se insere na sua nota

Ambas estas verificações contam para a sua pontuação de Segurança de DNS. A verificação do registo DS é tratada como a de maior prioridade das duas: um DS em falta é uma falha real e é pontuado como reprovação. A verificação do DNSKEY confirma que o resto da cadeia está intacto — só é aprovada quando um DS e um DNSKEY correspondentes estão ambos presentes, e assinala o perigoso estado partido «DS-sem-chave» como severidade elevada. Um resultado limpo de «o DNSSEC simplesmente ainda não está ativado» é o ponto de partida comum para muitas empresas; passar daí para um par DS + DNSKEY completo e correspondente é uma melhoria gratuita e bem compreendida que melhora a sua posição em Segurança de DNS e remove uma via genuína de personificação e interceção.

Configure no seu fornecedor

Passo a passo para os fornecedores mais populares:

Perguntas frequentes

Não percebo de tecnologia — isto é algo de que tenho de tratar pessoalmente?

Não. Precisa de perceber por que importa (esta página cobre isso), mas a alteração em si vive nas definições de DNS e de registrar do seu domínio, por isso pertence a quem gere o seu domínio ou site. Entregue-lhe a secção «Como corrigir» — é gratuita e costuma demorar menos de meia hora. Só cobramos se mais tarde quiser que continuemos a vigiar que se mantém corretamente ativada.

Se o meu site já tem o cadeado (HTTPS), não estou já protegido?

Protegem coisas diferentes. O cadeado protege a ligação depois de um visitante chegar ao servidor certo. O DNSSEC protege o passo anterior — garantir que chegam ao servidor certo, em primeiro lugar. Um atacante que forje o seu DNS pode enviar os visitantes para o servidor dele, que pode ter o seu próprio cadeado válido num domínio parecido ou até numa cópia do seu. Precisa de ambos; um não substitui o outro.

Ligar o DNSSEC pode partir o meu site ou o meu e-mail?

Feito num só lugar por um fornecedor que o suporta, não — os fornecedores modernos tratam das chaves por si e simplesmente funciona. O risco vem de o fazer em dois passos desligados e só concluir um: publicar o «selo» público (o registo DS) no seu registrar enquanto a chave correspondente (DNSKEY) está em falta ou não corresponde. Esse estado partido é pior do que não ter DNSSEC e causa falhas intermitentes. Os passos abaixo mantêm as duas metades em sincronia para que isto não aconteça.

Estamos na Cloudflare / Google Workspace / Microsoft 365 — isso cobre?

Não automaticamente, mas torna-o fácil. O que importa é onde o seu DNS é gerido. Se a Cloudflare gere o seu DNS, é uma ativação com um clique mais a colagem de um registo no seu registrar. O Microsoft 365 e o Google Workspace tratam do e-mail, não normalmente da sua zona de DNS — o DNSSEC ativa-se onde os registos de DNS do seu domínio realmente vivem (muitas vezes Cloudflare, o seu registrar ou o seu alojamento). Os passos abaixo cobrem os casos comuns.

O que são, exatamente, «DS» e «DNSKEY» — e por que esta página menciona ambos?

São as duas metades de um único cadeado. O DNSKEY é a chave que o seu fornecedor de DNS detém e usa para assinar os seus registos. O DS é uma impressão digital dessa chave, publicada um nível acima, no seu registrar, para que o resto da internet possa confirmar que a chave é mesmo sua. Ambos têm de estar presentes e de corresponder. Verificamos ambos: um DS em falta significa que o DNSSEC não está ativado; um DS sem um DNSKEY correspondente significa que está ativado mas partido.

Quanto tempo até estar a funcionar, e como confirmo?

Conte 24 a 48 horas para a alteração se espalhar totalmente pela internet; o seu site e e-mail existentes continuam a funcionar se for feito corretamente. Para confirmar, o seu responsável de TI pode correr «dig DS oseudominio» e «dig DNSKEY oseudominio» e ver registos devolvidos para ambos, ou usar qualquer verificador de DNSSEC online gratuito. Também o podemos monitorizar continuamente para que uma quebra futura seja apanhada no dia em que acontece, não no dia em que um cliente se queixa.