¿Qué es DNSSEC?
Definición breve: DNSSEC (Domain Name System Security Extensions) añade firmas criptográficas a los registros DNS para que los resolvers puedan verificar que la respuesta no fue alterada.
Ejemplo rápido
# Comprobar si un dominio tiene DNSSEC
dig +dnssec ejemplo.com A
# Busca el bit AD (Authenticated Data) en la respuesta del resolver.
+dnssec y verificación AD.¿Por qué importa?
DNS, por sí solo, no valida integridad. DNSSEC reduce ataques como cache poisoning al permitir que el resolver compruebe la firma del registro mediante una cadena de confianza (desde la zona hasta la raíz). Para usarlo, el registrador y el DNS autoritativo deben soportarlo, y debes publicar la DS record en el registrador.
Mini-FAQ
¿DNSSEC cifra el tráfico DNS?
No. DNSSEC firma datos, no cifra. Para cifrar las consultas, usa DoT/DoH.
¿Puede romperse el dominio si caducan las llaves?
Sí. Una rotación mal gestionada o firmas caducadas pueden causar fallos de resolución. Establece alertas y pruebas periódicas.