DNSSEC .PT

Destaques

2012.12.05

Lista de domínios assinados com DNSSEC

Verifica-se um crescente interesse da comunidade em ter os seus domínios assinados com DNSSEC. Os dados estatísticos demonstram que houve um aumento de cerca 400%, pois no início de 2012 existiam 63 domínios assinados com DNSSEC e até ao final de novembro existiam 247. Os workshops de DNSSEC fora determinantes para este crescimento, pelo que a FCCN atenta às necessidades da comunidade e ao crescente interesse sobre este tema, prevê futuras ações. Consulte a lista de domínios assinados com DNSSEC aqui.

2012.11.28

Conclui-se com êxito uma série de Workshops DNSSEC

Realizou-se hoje a última sessão do workshop DNSSEC agendado para este ano. A FCCN atenta às necessidades da comunidade e ao crescente interesse sobre este tema, prevê futuras ações. Esteja atento(a).

2012.10.22

Algumas instituições de investigação e ensino superior que já assinam os seus domínios com DNSSEC

Em Portugal, algumas instituições de investigação e ensino superior já assinam os seus domínios com DNSSEC, desta forma reforçam a segurança dos seus sites aplicando as melhores práticas. Enumeramos as instituições que assinam os seus domínios com DNSSEC:

Instituto Politécnico de Bragança (www.ipb.pt)
Instituto Politécnico do Cávado e do Ave (www.ipca.pt)
Instituto de Estudos Superiores de Fafe (www.iesfafe.pt)
Intituto Técnológico e Núclear (www.itn.pt)
Universidade Aberta (www.uaberta.pt)
Universidade Autónoma de Lisboa (www.universidade-autonoma.pt)
Universidade Atlântica (www.uatlantica.pt)
Universidade de Évora (www.uevora.pt)
Universidade da Madeira (www.uma.pt)
Universidade de Lisboa (www.ul.pt)

Veja a lista completa de domínios que assinam com DNSSEC

O serviço de DNS .PT continua a apostar na formação da nossa comunidade desenvolvendo ações de formação em DNSSEC totalmente gratuitos.

Veja mais informações aqui.

2012.09.07

Ultrapassada a barreira de 1 milhão de domínios assinados com DNSSEC no .NL

A SIDN, entidade que gere o domínio sob o TLD . nl, anunciou hoje que já tem mais de 1 milhão de nomes de domínio assinados DNSSEC. Este valor é atingido exatamente um mês após de se tornar o TLD com mais domínios de Internet DNSSEC.

Saiba mais: https://www.sidn.nl

2012.09.05

FCCN promove Workshops gratuitos DNSSEC

Para melhorar a segurança nos domínios .PT, a FCCN volta a promover um ciclo de workshops dirigidos a responsáveis técnicos de domínios de .PT.

Garanta a segurança, reduzindo o risco de manipulação de dados e informações com DNSSEC.

Veja mais informações aqui.

2012.09.05

Lançámos a página de facebook do DNS.PT

A ideia é partilhar de forma menos formal, mas igualmente precisa, informação relevante na nossa área de atuação.

Junte-se a nós e passe a palavra, só a sua participação contribuirá para o sucesso desta iniciativa!

Siga-nos em: http://www.facebook.com/dns.pt

2012.04.10

Ferramentas DNSSEC

DNSSEC (Domain Name System Security Extensions) é o nome dado às extensões de segurança ao protocolo DNS (Domain Name System) concebidas para proteger e autenticar o tráfego DNS.

Aceda às várias ferramentas DNSSEC atualmente disponíveis.

2012.02.14

2012 - DNS.PT mantém o compromisso com a Qualidade

O DNS.PT vê renovada a sua certificação ISO 9001, pela Associação Portuguesa de Certificação (APCER) em 2012.

Desde 2007 que a Fundação para a Computação Científica Nacional tem o seu Serviço de Registo de Domínios de .PT (DNS.PT) certificado segundo o referencial ISO. A certificação constituiu um marco importante com o reconhecimento formal da qualidade do serviço prestado na gestão, registo e manutenção do TLD .pt e a sua conformidade com padrões internacionalmente reconhecidos.

Decorridos 6 anos desde a primeira certificação, tem sido possível fazer evoluir o sistema de gestão da qualidade sempre na procura da melhoria contínua.

Tem sido possível concretizar esse desafio com a convergência de dois fatores determinantes, na abordagem da gestão da qualidade para o sucesso sustentado do DNS: o envolvimento e a participação ativa da equipa de colaboradores do DNS.PT e o empenhamento de toda a Organização FCCN.

O DNS.PT consolida o compromisso estabelecido em 2007 na prestação de um serviço de elevados padrões de qualidade, com enfoque na satisfação das necessidades e expectativas da comunidade Internet assumindo uma política pró-ativa e de inovação e atualização tecnológicas tornando-se um serviço público de referência e excelência junto da comunidade Internet, congéneres e parceiros.

2012.02.07

Jornadas FCCN 2012

As próximas Jornadas FCCN irão decorrer no Instituto Politécnico de Santarém, na semana de 7 a 9 de fevereiro. Nesta edição daremos especial enfoque aos serviços disponibilizados à vasta comunidade de investigação e ensino superior nacional e que hoje são suportados pela Rede Ciência, Tecnologia e Sociedade, RCTS.

MATERIAL DE APOIO: Workshop DNSSEC 2012 - Apresentação

2012.01.19

O que é o DNSSEC?

Veja o vídeo do português João Damas, um dos "Guardiões da Internet", em que é explicado o que é o DNSSEC.

Fonte: http://zappiens.pt/

2012.01.11

Comcast conclui implementação DNSSEC

Comcast, o maior ISP nos EUA, é o primeiro grande ISP na América do Norte a ter totalmente implementado o Domain Name System Security Extensions (DNSSEC). Como parte dos esforços contínuos para proteger os seus clientes, o DNSSEC já está automaticamente incluído como parte da Comcast Constant Guard™ da Xfinity.

Pode obter mais informação sobre esta notícia através do link ou visualizando o video:

Fonte: http://blog.comcast.com/

2011.12.09

Domínios PayPal já estão a usar DNSSEC

Temos o prazer de anunciar que todos os domínios DNS de propriedade e operados pela PayPal estão agora seguros através de DNSSEC . Todos eles estão assinados, e os registos DS já foram enviados para seus respectivos TLD's.

Fonte: www.thesecuritypractice.com

2011.11.17

DNSSEC – Workshops 2011

O DNSSEC é um padrão internacional, de extensões de segurança, que adiciona mecanismos para garantir a origem e integridade dos dados à tecnologia DNS. O domínio de topo de Portugal (.PT) encontra-se já assinado desde 2010, cabendo agora aos domínios sob .PT garantirem o reforço da sua segurança.

Conclui-se com êxito uma série de Workshops DNSSEC com a adesão de muitos interessados nesta nova tecnologia de Segurança.

Agradecemos a todos os participantes. Em 2012 retomamos esta formação.

2011.10.20

Último workshop DNSSEC 2011 – é já dia 16 de Novembro

Inscreva-se já. A inscrição é gratuita.

2011.09.27

Certificados DNSSEC agora no Chrome estável

"Alguns meses atrás eu descrevi o DNSSEC HTTPS autenticado no Chrome. Isto permite que os sites passem a usar o DNSSEC, ao contrário do tradicional, certificados e destina-se a sites que atualmente não usam HTTPS, ou certificados auto-assinados. Uma vez que o Chrome 14 está agora estável, todos os utilizadores do Chrome têm agora esta característica experimental.

(Além disso, o formato de serialização tem sido documentado.)"

Fonte: www.imperialviolet.org

2011.09.08

Workshop DNSSEC

2011.09.07

DNSSEC Desenvolvimentos

O RIPE NCC assina as suas zonas desde 2005. Outros operadores esperaram que a raiz fosse assinada. E a assinatura da zona raiz em Junho de 2010 encorajou claramente outros a implementar o DNSSEC. Neste artigo descrevemos estado das zonas mantidas pelo RIPE NCC e efectuamos uma revisão global do desenvolvimento do DNSSEC.

O DNSSEC (Domain Name System Security Extensions) é um conjunto de especificações desenvolvidas pelo IETF desenhadas para validar informação fornecida pelo DNS (Domain Name System Security Extensions).

Leia o artigo completo.

2011.02.09

Workshop DNSSEC

MATERIAL DE APOIO: Apresentação

2010.08.16

Workshops DNSSEC

A segurança na Internet é cada vez mais uma prioridade. No âmbito do novo serviço de extensões de segurança ao DNS designado DNSSEC e já disponibilizado no .PT deste o dia 4 de Janeiro de 2010, a FCCN - Fundação para a Computação Científica Nacional promove no último Quadrimestre de 2010 um ciclo de workshops DNSSEC com o objectivo de dotar os participantes dos conhecimentos necessários sobre DNSSEC e fornecer uma experiência prática na configuração e assinatura de zonas DNS num ambiente de referência (BIND) focando questões operacionais inerentes ao DNSSEC.

O primeiro Workshop DNSSEC será já dia 8 de Setembro de 2010 nas instalações da FCCN pelas 14h30 com duração de 2h e terá um número máximo de 10 participantes. Atendendo ao interesse que estes Workshops têm junto da comunidade as inscrições serão aceites por ordem de chegada.

Pela relevância e actualidade das matérias a abordar e sendo V. Exas. um interlocutor importante entre a comunidade Internet e a FCCN muito gostaríamos de contar com a V. presença numa das sessões.

Agradecemos confirmação da V. participação para o endereço de email secretaria@dns.pt, com indicação da sessão em que pretende participar. Só serão aceites inscrições até 48 horas antes de cada sessão.

Consulte aqui o programa dos Workshops DNSSEC e as datas: PROGRAMA.

2010.02.11

Workshop DNSSEC

Integrado no âmbito das Jornadas RCTS (Rede Ciência, Tecnologia e Sociedade) decorreu um Workshop Técnico de DNSSEC. O objectivo principal deste workshop foi dotar os participantes dos conhecimentos necessários sobre DNS e DNSSEC e fornecer experiência prática na configuração e assinatura de zonas DNS num ambiente de referência (BIND). Além da experiência prática em DNSSEC, o workshop também focou os tipos de ataque que este protocolo protege e as questões operacionais inerentes à implementação de DNSSEC.

Material de apoio:
Apresentação - Workshop DNSSEC
Ficheiros de Exemplo - zona01.dnssec.pt e named.conf
KIT DNSSEC - DNSSEC_KIT_v0.7_(with_example).zip e DNSSEC_KIT_v0.7_(basic).zip

2010.02.10

Deployment DNSSEC - Estado da arte na RCTS

No âmbito das Jornadas RCTS foi realizada uma apresentação na sessão de Segurança com o tema "Deployment DNSSEC" que teve como obejectivo a apresentação do estado de desenvolvimento do DNSSEC na RCTS e discussão de abordagens, constrangimentos e plano de trabalhos.

Para mais informação consulte o site das Jornadas RCTS e encontra-se disponível aqui a apresentação que foi realizada "Deployment DNSSEC".

2010.01.07

FCCN torna o .PT mais seguro e está entre os primeiros ccTLDs do mundo a utilizar DNSSEC:

A FCCN, Fundação para a Computação Científica Nacional, a entidade que gere o sistema DNS de atribuição de nomes de domínios na Internet sob .PT assinou, nos primeiros dias de 2010 o domínio de topo .PT com recurso à norma DNSSEC, juntando Portugal ao pequeno conjunto de países que já adoptaram esta norma nos seus domínios de topo. A norma DNSSEC consiste em extensões de segurança ao protocolo DNS, introduzindo desta forma mecanismos de segurança que permitem resolver vários dos principais problemas nesta área.

Mais informação em http://www.dns.pt.

2010.01.06

Assinatura DNSSEC do .PT:

A FCCN assinou no início de 2010 o ccTLD .PT com DNSSEC e por esse motivo pretendemos esclarecer todos aqueles cujo domínios se encontrem delegados abaixo de .PT para os eventuais impactos e potenciais consequências desta assinatura. O DNSSEC consiste num conjunto de extensões de segurança ao protocolo DNS que vêm permitir a assinatura digital dos dados de uma zona DNS permitindo ao cliente final a capacidade de autenticação desses dados e da origem dos mesmos.

Consequência da assinatura do .PT:

Com o protocolo DNS (RFC 1035) assumiu-se que os pedidos de pacotes de dados de grandes dimensões seriam muito raros tendo sido presumida como dimensão máxima das mensagens DNS os 512 bytes. Uma das alterações mais visíveis que DNSSEC introduz é o facto das repostas DNS terem maiores dimensões. A cada conjunto de dados resource records (RRset) é associada uma assinatura digital (RRSIG). Em grande parte dos casos as respostas DNS serão maiores que 512 bytes. Para colmatar esta situação um grupo de trabalho do IETF desenvolveu as extensões EDNS0, que permitem a um cliente efectuar pedidos DNS de maiores dimensões e aos servidores enviar respostas maiores, com dimensão até 4096 bytes. Para todos os efeitos o EDNS0 seria a solução para o aumento do tráfego DNS uma vez que quase todas as respostas estão à medida dos 4096 bytes, e o DNSSEC funcionaria sem problemas.

Mas atenta a realidade demonstra-se que os pacotes DNS maiores poderão não estar a ser correctamente processados pela Internet. Algumas firewalls e outros dispositivos rejeitam os pacotes DNS maiores que 512 bytes. Noutros casos, os pacotes são fragmentados pelos routers pelo caminho e o destino não consegue associar os fragmentos e estes são rejeitados. Os clientes DNS têm então de voltar a realizar o pedido, com tamanhos mais pequenos até obterem uma resposta ou então forçar o pedido por TCP.

É importante que todos os administradores de redes, servidores de nomes e resolvers mediante o conhecimento que detêm da sua da infra-estrutura devem determinar os obstáculos que poderão enfrentar após a assinatura do .PT com DNSSEC consequentemente dos domínios abaixo de .PT que já começaram a demonstrar a sua adesão, para além da assinatura da root que está programada para 2010 e dos restantes TLDs.

Para os domínios já assinados ou em fase de transição:

O DNS sendo um protocolo simples e essencial, para que funcione correctamente deverá estar correctamente configurado, sendo boa prática existir mais do que um servidor de nomes com a informação de uma determinada zona. Se a zona for assinada com DNSSEC o responsável técnico deverá ter em atenção de que os vários servidores de nomes têm compatibilidade DNSSEC para que quando questionados forneçam a mesma informação DNS entre eles.

Quando uma zona DNS se encontra assinada, as suas assinaturas digitais têm uma validade, sendo que esta validade pode ser, por defeito, um mês, ou então é indicada aquando a assinatura de zona pelo administrador. O importante na gestão de zonas DNS assinadas é que seja realizada uma manutenção que poderá ser manual ou automática para a revalidação das assinaturas da zona, o que significa que antes da data de expiração das assinaturas (RRSIG) ser atingida se deverá revalidar a assinar da zona re-assinando a mesma. Caso contrário, quando solicitada informação DNS de um domínio por meio seguro, cuja validade das assinaturas tenha expirado, o resultado será a ausência de resposta, como se o domínio tivesse deixado de existir.