DNSSEC .PT

Destaques

2012.01.19

O que é o DNSSEC?

Veja o vídeo do português João Damas, um dos "Guardiões da Internet", em que é explicado o que é o DNSSEC.

2012.01.11

Comcast conclui implementação DNSSEC

Comcast, o maior ISP nos EUA, é o primeiro grande ISP na América do Norte a ter totalmente implementado o Domain Name System Security Extensions (DNSSEC). Como parte dos esforços contínuos para proteger os seus clientes, o DNSSEC já está automaticamente incluído como parte da Comcast Constant Guard™ da Xfinity.

Pode obter mais informação sobre esta notícia através do link ou visualizando o video:

Fonte: http://blog.comcast.com/

2012.01.02

Jornadas FCCN 2012

As próximas Jornadas FCCN irão decorrer no Instituto Politécnico de Santarém, na semana de 7 a 9 de fevereiro. Nesta edição daremos especial enfoque aos serviços disponibilizados à vasta comunidade de investigação e ensino superior nacional e que hoje são suportados pela Rede Ciência, Tecnologia e Sociedade, RCTS.

2011.12.09

Domínios PayPal já estão a usar DNSSEC

Temos o prazer de anunciar que todos os domínios DNS de propriedade e operados pela PayPal estão agora seguros através de DNSSEC . Todos eles estão assinados, e os registos DS já foram enviados para seus respectivos TLD's.

Fonte: www.thesecuritypractice.com

2011.11.17

DNSSEC – Workshops 2011

O DNSSEC é um padrão internacional, de extensões de segurança, que adiciona mecanismos para garantir a origem e integridade dos dados à tecnologia DNS. O domínio de topo de Portugal (.PT) encontra-se já assinado desde 2010, cabendo agora aos domínios sob .PT garantirem o reforço da sua segurança.

Conclui-se com êxito uma série de Workshops DNSSEC com a adesão de muitos interessados nesta nova tecnologia de Segurança.

Agradecemos a todos os participantes. Em 2012 retomamos esta formação.

2011.10.20

Último workshop DNSSEC 2011 – é já dia 16 de Novembro

Inscreva-se já. A inscrição é gratuita.

2011.09.27

Certificados DNSSEC agora no Chrome estável

"Alguns meses atrás eu descrevi o DNSSEC HTTPS autenticado no Chrome. Isto permite que os sites passem a usar o DNSSEC, ao contrário do tradicional, certificados e destina-se a sites que atualmente não usam HTTPS, ou certificados auto-assinados. Uma vez que o Chrome 14 está agora estável, todos os utilizadores do Chrome têm agora esta característica experimental.

(Além disso, o formato de serialização tem sido documentado.)"

Fonte: www.imperialviolet.org

2011.09.08

Workshop DNSSEC

MATERIAL DE APOIO: Workshop DNSSEC 2011 - Apresentação

2011.09.07

DNSSEC Desenvolvimentos

O RIPE NCC assina as suas zonas desde 2005. Outros operadores esperaram que a raiz fosse assinada. E a assinatura da zona raiz em Junho de 2010 encorajou claramente outros a implementar o DNSSEC. Neste artigo descrevemos estado das zonas mantidas pelo RIPE NCC e efectuamos uma revisão global do desenvolvimento do DNSSEC.

O DNSSEC (Domain Name System Security Extensions) é um conjunto de especificações desenvolvidas pelo IETF desenhadas para validar informação fornecida pelo DNS (Domain Name System Security Extensions).

Leia o artigo completo.

2011.02.09

Workshop DNSSEC

MATERIAL DE APOIO: Apresentação

2010.08.16

Workshops DNSSEC

A segurança na Internet é cada vez mais uma prioridade. No âmbito do novo serviço de extensões de segurança ao DNS designado DNSSEC e já disponibilizado no .PT deste o dia 4 de Janeiro de 2010, a FCCN - Fundação para a Computação Científica Nacional promove no último Quadrimestre de 2010 um ciclo de workshops DNSSEC com o objectivo de dotar os participantes dos conhecimentos necessários sobre DNSSEC e fornecer uma experiência prática na configuração e assinatura de zonas DNS num ambiente de referência (BIND) focando questões operacionais inerentes ao DNSSEC.

O primeiro Workshop DNSSEC será já dia 8 de Setembro de 2010 nas instalações da FCCN pelas 14h30 com duração de 2h e terá um número máximo de 10 participantes. Atendendo ao interesse que estes Workshops têm junto da comunidade as inscrições serão aceites por ordem de chegada.

Pela relevância e actualidade das matérias a abordar e sendo V. Exas. um interlocutor importante entre a comunidade Internet e a FCCN muito gostaríamos de contar com a V. presença numa das sessões.

Agradecemos confirmação da V. participação para o endereço de email secretaria@dns.pt, com indicação da sessão em que pretende participar. Só serão aceites inscrições até 48 horas antes de cada sessão.

Consulte aqui o programa dos Workshops DNSSEC e as datas: PROGRAMA.

2010.02.11

Workshop DNSSEC

Integrado no âmbito das Jornadas RCTS (Rede Ciência, Tecnologia e Sociedade) decorreu um Workshop Técnico de DNSSEC. O objectivo principal deste workshop foi dotar os participantes dos conhecimentos necessários sobre DNS e DNSSEC e fornecer experiência prática na configuração e assinatura de zonas DNS num ambiente de referência (BIND). Além da experiência prática em DNSSEC, o workshop também focou os tipos de ataque que este protocolo protege e as questões operacionais inerentes à implementação de DNSSEC.

Material de apoio:
Apresentação - Workshop DNSSEC
Ficheiros de Exemplo - zona01.dnssec.pt e named.conf
KIT DNSSEC - DNSSEC_KIT_v0.7_(with_example).zip e DNSSEC_KIT_v0.7_(basic).zip

2010.02.10

Deployment DNSSEC - Estado da arte na RCTS

No âmbito das Jornadas RCTS foi realizada uma apresentação na sessão de Segurança com o tema "Deployment DNSSEC" que teve como obejectivo a apresentação do estado de desenvolvimento do DNSSEC na RCTS e discussão de abordagens, constrangimentos e plano de trabalhos.

Para mais informação consulte o site das Jornadas RCTS e encontra-se disponível aqui a apresentação que foi realizada "Deployment DNSSEC".

2010.01.07

FCCN torna o .PT mais seguro e está entre os primeiros ccTLDs do mundo a utilizar DNSSEC:

A FCCN, Fundação para a Computação Científica Nacional, a entidade que gere o sistema DNS de atribuição de nomes de domínios na Internet sob .PT assinou, nos primeiros dias de 2010 o domínio de topo .PT com recurso à norma DNSSEC, juntando Portugal ao pequeno conjunto de países que já adoptaram esta norma nos seus domínios de topo. A norma DNSSEC consiste em extensões de segurança ao protocolo DNS, introduzindo desta forma mecanismos de segurança que permitem resolver vários dos principais problemas nesta área.

Mais informação em http://www.dns.pt.

2010.01.06

Assinatura DNSSEC do .PT:

A FCCN assinou no início de 2010 o ccTLD .PT com DNSSEC e por esse motivo pretendemos esclarecer todos aqueles cujo domínios se encontrem delegados abaixo de .PT para os eventuais impactos e potenciais consequências desta assinatura. O DNSSEC consiste num conjunto de extensões de segurança ao protocolo DNS que vêm permitir a assinatura digital dos dados de uma zona DNS permitindo ao cliente final a capacidade de autenticação desses dados e da origem dos mesmos.

Consequência da assinatura do .PT:

Com o protocolo DNS (RFC 1035) assumiu-se que os pedidos de pacotes de dados de grandes dimensões seriam muito raros tendo sido presumida como dimensão máxima das mensagens DNS os 512 bytes. Uma das alterações mais visíveis que DNSSEC introduz é o facto das repostas DNS terem maiores dimensões. A cada conjunto de dados resource records (RRset) é associada uma assinatura digital (RRSIG). Em grande parte dos casos as respostas DNS serão maiores que 512 bytes. Para colmatar esta situação um grupo de trabalho do IETF desenvolveu as extensões EDNS0, que permitem a um cliente efectuar pedidos DNS de maiores dimensões e aos servidores enviar respostas maiores, com dimensão até 4096 bytes. Para todos os efeitos o EDNS0 seria a solução para o aumento do tráfego DNS uma vez que quase todas as respostas estão à medida dos 4096 bytes, e o DNSSEC funcionaria sem problemas.

Mas atenta a realidade demonstra-se que os pacotes DNS maiores poderão não estar a ser correctamente processados pela Internet. Algumas firewalls e outros dispositivos rejeitam os pacotes DNS maiores que 512 bytes. Noutros casos, os pacotes são fragmentados pelos routers pelo caminho e o destino não consegue associar os fragmentos e estes são rejeitados. Os clientes DNS têm então de voltar a realizar o pedido, com tamanhos mais pequenos até obterem uma resposta ou então forçar o pedido por TCP.

É importante que todos os administradores de redes, servidores de nomes e resolvers mediante o conhecimento que detêm da sua da infra-estrutura devem determinar os obstáculos que poderão enfrentar após a assinatura do .PT com DNSSEC consequentemente dos domínios abaixo de .PT que já começaram a demonstrar a sua adesão, para além da assinatura da root que está programada para 2010 e dos restantes TLDs.

Para os domínios já assinados ou em fase de transição:

O DNS sendo um protocolo simples e essencial, para que funcione correctamente deverá estar correctamente configurado, sendo boa prática existir mais do que um servidor de nomes com a informação de uma determinada zona. Se a zona for assinada com DNSSEC o responsável técnico deverá ter em atenção de que os vários servidores de nomes têm compatibilidade DNSSEC para que quando questionados forneçam a mesma informação DNS entre eles.

Quando uma zona DNS se encontra assinada, as suas assinaturas digitais têm uma validade, sendo que esta validade pode ser, por defeito, um mês, ou então é indicada aquando a assinatura de zona pelo administrador. O importante na gestão de zonas DNS assinadas é que seja realizada uma manutenção que poderá ser manual ou automática para a revalidação das assinaturas da zona, o que significa que antes da data de expiração das assinaturas (RRSIG) ser atingida se deverá revalidar a assinar da zona re-assinando a mesma. Caso contrário, quando solicitada informação DNS de um domínio por meio seguro, cuja validade das assinaturas tenha expirado, o resultado será a ausência de resposta, como se o domínio tivesse deixado de existir.