Llegamos a ustedes gracias a:



Noticias

Refuerzan la seguridad del dominio .org

[02/06/2009] El Public Interest Registry anunciará hoy que ha empezado a firmar criptográficamente el dominio de primer nivel .org utilizando la extensión de seguridad DNS conocida como DNSSEC.

DNSSEC es un estándar emergente que evita ataques que falsean la IP, y permite que las páginas web verifiquen sus nombres de dominio y direcciones IP correspondientes utilizando firma digital y encriptación de clave pública. DNSSEC está considerado como el mejor modo para reforzar DNS frente a vulnerabilidades, incluido el conocido como agujero Kaminsky, una brecha DNS descubierta el pasado invierno que permitía al hacker redireccionar tráfico desde sitios legítimos hacia páginas falsas sin que el usuario lo percibiera.
DNSSEC es una actualización de la infraestructura necesaria, apunta Alexa Raad, CEO del Public Interest Registry (PIR). Ha pasado el umbral de oportunidad teórica para convertirse en una necesidad práctica. La pregunta siguiente es ¿cómo hacemos que funcione?. Con 7,5 millones de nombres registrados, .org es el mayor dominio sobre el que desplegar DNSSEC. Actualmente, los dominios que ya lo utilizan corresponden a los códigos de país de Suecia, Puerto Rico, Bulgaria, Brasil y República Checa.
El PIR anunció sus planes para desplegar DNSSEC en junio del año pasado y en diciembre prometió que compartiría su experiencia con los miembros de la DNSSEC Industry Coalition. Esta coalición incluye a los principales registradores de nombres de dominio como VeriSign, NeuStar y Afilias, así como a proveedores de software DNS como NLnet Labs, Secure64 e InfoBlox. Raad señaló lo importante que es para el PIR compartir experiencias con DNSSEC porque esto no es algo que un solo actor pueda llevar a cabo. Involucra a toda una comunidad.
Una recomendación que el PIR está haciendo a la industria es que los despliegues de DNSSEC utilicen el reciente algoritmo NSEC3 en lugar del antiguo NSEC, menos seguro y con mayor necesidad de procesamiento. El PIR también está animando a la DNSSEC Industry Coalition a desarrollar procedimientos operacionales del tipo cómo transferir dominios de un registrador que soporta DNSSEC a uno que no lo hace.
Un año después de haber anunciado su intención de soportar DNSSEC, el PIR comunicará hoy que ha empezado a firmar el dominio .org con NSEC3 y que ha empezado a probar DNSSEC con varios registradores utilizando nombres .org reales y falsos. Esta entidad pretende continuar realizando pruebas durante los próximos meses hasta que el registro esté preparado para soportar DNSSEC para todos los operadores de nombres de dominio .org. Raad confía en que durante el 2010 se produzca el despliegue masivo de DNSSEC en los dominios .org.
La buena noticia para los propietarios de dominios .org es que las pruebas DNSSEC del PIR y su despliegue no afectarán a sus operaciones diarias, según explicó la CEO del registro, quien recomienda a los administradores de redes empresariales que empiecen a preguntar a sus ISP, registradores de nombres de dominios y suministradores DNS qué están haciendo para soportar DNSSEC.
Nuevos impulsos
Fue en 1995 cuando se empezó a hablar de este protocolo de seguridad DNS, si bien los esfuerzos por impulsarlo tomaron aire el año pasado cuando se descubrió el llamado agujero Kaminsky.
El gobierno federal de los Estados Unidos está desplegando DNSSEC en sus dominios .gov este año y pretende que todos los subdominios estén firmados a finales del 2009. Por su parte, VeriSign se ha comprometido a desplegar DNSSEC en los dominios .com y .net para el 2011. No obstante, la comunidad de ingenieros de Internet está esperando a que el gobierno estadounidense despliegue DNSSEC en la ruta.
Próximamente tendremos más noticias sobre DNSSEC, pues la DNSEEC Industry Coalition se reunirá en un simposio los próximos 11 y 12 de junio en Washington para debatir cuestiones relacionadas con el protocolo de seguridad DNS, por ejemplo, cómo implementarlo en la ruta.
CSO