Recentemente, habilitei o DNSSEC (Domain Name System Security Extensions) para o domínio systemsapproach.org. Não espere aplausos; isso foi apenas um exercício para compreender as barreiras à adoção desse recurso enquanto me douçasia sobre a tecnologia.
Para quem usa um provedor de hospedagem grande (como nós usamos o GoDaddy), habilitar o DNSSEC é uma tarefa relativamente simples. No entanto, é revelador que tenhamos demorado tanto para fazê-lo, até que a motivação de escrever um novo livro sobre segurança nos impulsionou a agir. Em contraste, seria inconcebível operar um site na internet em 2025 sem HTTPS.
Meu foco recente tem sido a segurança da infraestrutura para o novo livro. Como essas tecnologias não são diretamente voltadas para os usuários finais, coletar informações sobre sua adoção real tem sido desafiador. Recentemente, relatei alguns avanços no longo e lento processo de segurar a roteamento da internet, como a adoção da validação de origem de rotas (ROV) e a introdução da Autorização de Provedor de AS (ASPA). No entanto, o sistema de nomes também é uma infraestrutura crítica que sofre com vulnerabilidades conhecidas há anos.
Os problemas do DNSSEC começam com a falta de visibilidade para o usuário
Dados da Internet Society mostram que apenas 34% dos servidores de DNS apoiam o DNSSEC, enquanto HTTPS alcança 96% dos principais sites globais. Esse desempenho ruim se deve, em parte, à ausência de indicadores claros para os usuários finais. Enquanto TLS (usado em HTTPS) exibe um ícone de cadeado no navegador, o DNSSEC não fornece feedback visual algum.
Para verificar nossa implementação do DNSSEC, usei ferramentas como o DNSSEC Debugger, da Verisign, e o DNSviz. Ambas confirmaram que estabelecerimos uma corrente de confiança válida a partir da zona raiz, passando pela .org e terminando em systemsapproach.org.
A adoção do DNSSEC enfrenta desafios significativos, incluindo:
- A dependência total de cada nível hierárquico do domínio ter implementado o recurso;
- A falta de incentivos claros para os provedores e usuários finais;
- E a ausência de feedback visual para os internautas.
Enquanto isso, tecnologias como o DNS over TLS (DoT) e o DNS over HTTPS (DoH) começam a ganhar terreno, fornecendo canais seguros entre o cliente e os servidores DNS. No entanto, essas soluções não resolvem o problema fundamental de garantir que as informações DNS sejam corretas.
Concluo que, embora a adoção do DNSSEC seja lenta, ela é essencial para proteger a infraestrutura da internet. Enquanto isso, ferramentas como o DoH e o Private DNS ajudam a mitigar riscos, mas não substituem a necessidade de um sistema de nomes seguro.
