DNSSEC é um padrão internacional que estende a tecnologia DNS. O que DNSSEC adiciona é um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e informações. O mecanismo utilizado pelo DNSSEC é baseado na tecnologia de criptografia de chaves públicas.

8.2 O que DNSSEC provê ?

Provê a autenticidade e integridade das respostas DNS.

8.3 O que DNSSEC não provê ?

Não provê confidencialidade e não protege contra ataques de negação de serviço (DOS).

8.4 Quem pode utilizar DNSSEC ?

Podem utilizar DNSSEC os registros que estiverem diretamente abaixo do domínio .BR bem como aqueles abaixo dos DPNs indicados aqui.

8.5 Por que preciso utilizar DNSSEC ?

DNSSEC soluciona alguns problemas encontrados na atual tecnologia DNS. Falsas informações DNS criam oportunidades para roubo de informações de terceiros ou alteração de dados em diversos tipos de transações como, por exemplo, compras eletrônicas. No protocolo DNS, um ataque onde a informação é corrompida é extremamente difícil de ser detectado e, na prática, impossível de ser prevenido. O objetivo da extensão DNSSEC é assegurar o conteúdo do DNS e impedir estes ataques validando os dados e garantindo a origem das informações.

8.6 Quais as vantagens de utilizar DNSSEC ?

Ver FAQ 8.5.

8.7 Não sei nada sobre DNSSEC, por onde começar ?

Você pode começar se familiarizando com o tutorial disponibilizado em http://beta.registro.br/info/dnssec.html. De forma a complementar suas dúvidas consulte FAQ 8.23.

8.8 Quando preciso utilizar DNSSEC no meu domínio no Registro.br ?

Não existe uma obrigatoriedade na utilização da extensão DNSSEC pois o sistema continuará a suportar a tecnologia DNS sem a extensão.

8.9 Em quais domínios posso utilizar DNSSEC ?

Ver FAQ 8.4.

8.10 Quando haverá DNSSEC em outros domínios ?

Em breve. Fique atento aos anúncios do site.

8.11 Em quais domínios o uso de DNSSEC é obrigatório ?

Atualmente não existem domínios em que a extensão DNSSEC seja obrigatória.

8.12 Eu preciso de um provedor de serviços para utilizar DNSSEC ?

Não.

8.13 Existe algum custo adicional para a utilização de DNSSEC ?

Não

8.14 Quais informações devo fornecer no provisionamento?

Os dados do record DS: key tag, algoritmo e digest.

8.15 O que é um record DS ?

É um correlato gerado a partir de uma chave pública, o qual serve para informar que existe uma cadeia de confiança entre um domínio e seus sub-domínios.

8.16 Para que servem os record DS ?

Ver FAQ 8.15.

8.17 Não possuo records DS, o que devo fazer ?

Para utilização de DNSSEC é necessária a criação do record DS. Se você não sabe como fazer isso, entre em contato com seu provedor de serviços ou ver FAQ 8.23.

8.18 Como faço para saber se o record DS do meu domínio é válido ?

Durante o processo de provisionamento de record DS o sistema do Registro.br fará a validação. Além disso, é possível verificar a corretude do record DS de seu domínio utilizando a ferramenta DScheck.

8.19 Quais algoritmos posso utilizar na geração de meus records DS ?

SHA-1.

8.20 O que é um Key Tag ?

É um identificador para o record DNSKEY gerado a partir de um cálculo matemático.

8.21 Já tenho um record DS em meu domínio registrado. Como faço para adicionar um novo record DS ?

Acesse a página de atualização de dados de seu domínio.

8.22 Quando devo atualizar meus records DS ?

Sempre que alterar suas chaves.

8.23 Onde posso obter mais informações sobre DNSSEC ?

Tutorial DNSSEC

Organizações & Web sites
  - DNSSEC information site: DNSSEC.net
  - DNS Extensions IETF Working Group
  - DNSSEC Deployment Coordination Initiative

RFCs (http://www.ietf.org/IETF)
  - RFC 3833 A Threat Analysis of the Domain Name System
  - RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis)
  - RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis)
  - RFC 4035 Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
  - RFC 4398 Storing Certificates in the Domain Name System (DNS)
  - RFC 4641 DNSSEC Operational Practices

Outros Documentos
  - DNSSEC Howto by Olaf Kolkman (RIPE NCC/NLnet Labs)
  - A relatively technical document from the organization RIPE NCC on how DNSSEC can be implemented