Qué es y para qué sirve DNSSEC

Vaya por delante que mi relación con las DNS es digamos que distante, así que al añadirle apellidos la cosa se me complica.

Para qué vale DNSSEC

Quizá lo más interesante de DNSSEC es saber para qué te puede valer. En este vídeo ochentero (es de 2013, pero parece más antiguo, ¿verdad? lo explican de forma sencilla:

About DNSSEC (Animated Introduction – With Text Narration)

DNSSEC sirve para impedir que alguien suplante a nuestros servidores DNS y nos proporcione información falsa, evitando la suplantación de servicios de terceros.

Aunque DNSSEC está bastante extendido, no todos los registradores ni todos los registros lo permiten.

¿Cómo funciona DNSSEC?

Autenticando la información mediante un cifrado asimétrico. Aquí empieza la parte más complicada ya que todo el contenido debe ir firmado para asegurar su autenticidad y todos los miembros de la cadena deben ser capaces de validar esa firma, hasta llegar a los servidores DNS raíz. Toda la cadena debe estar configurada para permitir DNSSEC.

De forma resumida, para un dominio:

  • Los servidores DNS deben estar configurados para permitir DNSSEC
  • Se firma la zona del dominio usando 2 pares de claves de seguridad: Zone Signing Key (ZSK) y Key Signing Key (KSK)
    • ZSK se utiliza para firmar la zona del dominio; es quien dice «Estos son mis registros DNS, provienen de mi servidor y deben ser así». Para ello utiliza registros DNS de tipo RRSIG para cada uno de los record sets (conjunto de registros del mismo tipo y nombre)
    • KSK se utiliza para firmar los registros DNSKEY que contendrán las claves públicas de las firmas, tanto ZSK como KSK, y que también tendrán su correspondiente RRSIG asociado.
Diagrama de claves de firma de claves
Diagrama de claves de firma de clave (imagen de CloudFlare)
  • Para transmitir esta información, hay que trasladar la clave pública de KSK a la zona padre. Esto se hace con el registro Delegation Signer (DS), que contiene la clave pública hasheada.
    Cada vez que un resolver se dirige a una zona secundaria, la zona principal también proporciona un registro DS. Este registro DS es la forma en que los resolvers saben que la zona secundaria está habilitada para DNSSEC. Como el DS es un registro «normal», también irá firmado y se irá subiendo en la cadena de confianza hasta la zona DNS raíz. Como curiosidad, como no hay nadie que valide este último registro, se realiza una Ceremonia pública en la que una serie de autoridades realizan la firma de las claves de la zona raíz.
Validación de la cadena de confianza para www.eurid.eu

A todo esto hay que añadir que conviene cambiar las claves ZSK y KSK cada cierto tiempo… con lo que ellos supone de transmisión hacia arriba de los cambios.

Como las KSK se usan para firmar las claves, suelen ser más robustas y hay que modificarlas menos a menudo. Para las ZSK se usan claves más débiles y estas sí se suelen rotar por ejemplo cada 2-3 meses.

Los registros DNS implicados

Ya hemos visto que se están creando bastantes registros nuevos para poder firmar y autenticar estas firmas:

  • RRSIG. Contiene la firma digital de cada resource record set. Esta firma se verifica con la clave pública almacenada en los registros DNSSKEY.
  • DNSKEY. Contiene la clave pública necesaria para validar las firmas de los registros RRSIG.
  • DS (Delegation Signer). Identifica una zona delegada. Hace referencia a un registro DNSKEY en la zona subdelegada. El registro DS se coloca en la zona padre junto con los registros NS delegados.

Adicionalmente aparecerán registros NSEC o NSEC3 (para denegar de forma explícita la existencia de un registro DNS) y también pueden aparecer registros CDNSKEY y CDS para zonas secundarias que soliciten actualizaciones de registros DS en la zona principal.

Referencias

  • Echad un ojo a la explicación de CloudFlare sobre cómo funciona DNSSEC (How DNSSEC works). De lo que he visto es la que mejor aclara qué es y cómo funciona DNSSEC.
  • Si queréis ver cómo es la Root Signing Ceremony, ICANN publica los vídeos en YouTube ;) No esperéis un fiestón con alcohol y stripers.
    Ólafur Guðmundsson (CloudFlare) estuvo invitado y explica el proceso en el artículo The DNSSEC Root Signing Ceremony.
  • No viene mal recordar el cifrado asimétrico, que es lo que nos permite autenticar a las partes en todo este jaleo:
  • Y puedes analizar el estado DNSSEC con el DNSSEC Debugger de Verisign Labs:

Banners de cookies de terceros, ¿peor el remedio que la enfermedad?

Vamos a suponer que la llamada Ley de Cookies se creó para que los usuarios de un sitio web fueran conscientes de que, cuando visitas un sitio web, hay servicios que están dejando información (cookies) para ofrecer cierta funcionalidad: analítica, de personalización, etc.

La Agencia Española de Protección de Datos tiene una guía sobre el uso de las cookies completa y entendible. La puedes leer en Guía Cookies AEPD (PDF).

AEPD.es

Como usuario, esto te puede asustar, ser más consciente de que hay cosas detrás de esa web, de que puedes aceptar/rechazar algunas de esas funcionalidades adicionales (podrías quitar el seguimiento de publicidad, p.ej.). Al final es más fácil pinchar al «Sí a todo por Dios, déjame ver la web» que cualquier otra cosa, así que no sé yo si realmente hemos ganado algo (seguramente algo sí, una miajica si quieres, pero algo).

Como editor de un sitio web, montar un banner de cookies es un pochocho de tres pares de narices. ¿Y yo qué sé qué es una cookie? ¿Qué se yo cómo se ven y se dejan de ver? Ah, ¿pero puedes quitar alguna? Y entonces, ¿voy a perder el mapa chulo que tengo? Pero estamos salvados: hay plugins y pequeños scripts y zurullitos de coña y tienen su versión gratuita y no tienes que hacer prácticamente nada para ponerlos.

Todo perfecto.

Cuando algo es gratis, el producto eres tú

¡¡Chopecha!!

Bien, igual no es tan terrible, o tal vez sí. Lo importante es que sepas que, para que esos servicios funcionen correctamente, analizan tu web, ponen sus propias cookies y las pueden utilizar para realizar rastreos de los usuarios de la web. Vamos, has añadido un rastreador más a la lista que ya tenías.

¿Es eso bueno o malo? Por ahora, es lo que hay. Te ofrezco una funcionalidad, pero cojo algo a cambio (dinero, información…). Al final no sabemos si estos datos lo estamos vendiendo caros o baratos, si la funcionalidad que ofrecen esos servicios de terceros la estamos pagando a doblón o es justo.

Si aún así quieres usar un banner de terceros…

Algunas opciones gratuitas son:

En Arsys hay un par de artículos que te pueden resultar útiles:

Cual es el proceso de validación de un certificado SSL

En otras entradas, hemos hablado de los tipos de certificados que existen y como lo que se valida y el proceso de validación para cada uno de ellos es diferente. Resumo los tipos de certificados:

  1. DV o Validación de Dominio
  2. OV o Validación de Organización
  3. EV o Validación Extendida

El certificado de nivel más alto, incluye la validación requerida por el nivel anterior. Es decir, un certificado OV, requiere una validación de la organización pero también del dominio, y un EV, además de esa validación extendida, validará también la organización y el dominio. Por lo tanto, el proceso de validación de cualquier certificado antes de concederlo siempre será:

  • Se valida el dominio para el que se solicita el certificado. Esto es necesario para los certificados DV, OV y EV y suficiente para un SSL de tipo DV.
  • Se valida la organización para la que se solicita el certificado. Necesario para los certificados OV y EV y suficiente para un SSL de tipo OV
  • Se realizan validaciones adicionales sobre el solicitante del certificado para los SSL de tipo EV.

¿Cómo valido un dominio?

Para validar el dominio, la Autoridad Certificadora (CA) debe asegurarse de que tenemos acceso a la gestión del dominio.

Hay 3 tipos de validaciones: DNS, FILE o EMAIL:

  • Para la validación DNS tendrás que añadir una cadena concreta en un registro DNS.
  • En el caso de FILE, es similar: hay que subir un archivo en una ruta concreta del dominio.
  • Por EMAIL, se enviará un correo con un enlace a una dirección de email fija (admin@example.com…)

Lo normal es que todo este proceso sea transparente para ti si la gestión de las DNS y del certificado los tienes en el mismo hoster.

¿Cómo se valida la organización del certificado?

Al solicitar certificados OV y EV, se pide información completa de la organización y de un Contacto Administrativo dentro de la organziación que respodnerá por la validez de los datos. Con esa información la CA debe asegurarse que los datos son válidos y para ello utiliza la información de entidades y registros públicos, como puede ser el registro mercantil u otros registros similares (p.ej. Google Business o Páginas Amarillas).

Una vez la CA se ha asegurado de la existencia jurídica y operativa de la entidad se realiza una llamada telefónica al teléfono de contacto de la empresa para asegurarse de que todo es correcto.

Para validar una organización, entonces, lo que se se hace es:

  • La CA comprueba que la empresa está registrada y operativa consultando información de autoridades competentes (registro mercantil, etc.)
  • Se valida el domicilio fiscal de la organización
  • Se localiza un teléfono de esa organización y se realiza una llamada de comprobación
  • Se aseguran de que el dominio para el que se solicita el certificado pertenece a la organización

Aunque el proceso está automatizado en gran medida, la concesión del certificado no es inmediata (como puede ser la de un DV), y el proceso puede llevar varios días. Lo bueno es que no tendremos que pasar de nuevo por todo el proceso si solicitamos nuevos certificados para la misma organización: la organización se considera validada durante 27 meses.

Añado un par de enlaces para mostrar cómo hacen esta validación Digicert y Sectigo, dos de las mayores CA:

Y, ¿qué es eso de validación extendida? ¿Cómo se validan los EV?

Vale… me has pillado. Aquí simplemente se indica que las comprobaciones son «más exhaustivas» y yo me remito a lo que diga la guía de CA/Browser forum para la validación extendida (v 1.6.7), llámame cobarde si quieres.

¿Has dicho CA/Browser forum?

CA/Browser forum es el consorcio que agrupa a Autoridades Certificadoras, constructores de software (como Mozilla o Google) y otras entidades relacionadas con las certificaciones y que se encarga de emitir guías y requerimientos que son vinculantes para los miembros del foro.

Panza de burro – Andrea Abreu

Portada de Panza de burro
Panza de burro – Andrea Abreu

Panza de burro es como se denomina en Canarias a ese mar de nubes grises bajas que cubre por completo el sol y sirve para limitar, también por arriba, el mundo de las dos niñas protagonistas de la historia.

Panza de burro es la historia de amistad de unas niñas limitadas a un barrio, a una cuesta, de la obsesión de la narradora con Isora, de lo que es importante a esa edad, de los detalles del barrio, de los personajes: de las abuelas, los perros, plantas, vecinos y los turistas de las casas rurales. De la ausencia de los padres y de la unión que se establece durante la niñez.

Es un libro realmente bello.

Y sí, no tiene aperturas de interrogativas, pone mesinyé y algunas otras cosas, nos descubre palabras como pepe y todo eso le da color sin entorpecer la lectura.

En la editorial En tu librería En Amazon

Sobre la belleza

Hace más de 20 años, viendo el código de Lucene, casi se me saltan las lágrimas. Era simple y elegante, se podía ampliar con facilidad y te sentías obligado a dar lo mejor de ti para mantenerlo tan limpio como al principio.

El código es poesía y programar es un arte, no dejes que nadie diga lo contrario

En algún momento de tu vida te habrá ocurrido algo parecido; te habrás quedado paralizado ante una canción de Jimi Hendrix, un cuento de Rulfo, un cuadro de Goya, una obra de teatro, película, web, ante la tipografía Sabon… Además, si te dedicas a la misma disciplina de la obra, se te habrá pasado por la cabeza alguna de estas opciones:

  1. Admirarlo y seguir con tu vida vestido temporalmente con un rayito de sol. «Hay gente que hace cosas bellas, la humanidad está salvada».
  2. Deprimirte con la comparación. «Madre mía, y yo haciendo estas mierdecillas. Mejor lo dejo».
  3. Retenerlo en tu cabeza y establecerlo como objetivo. «A Dios pongo por testigo que un día haré un X tan bueno como este».

Es más, seguramente lo habrás mezclado todo: «Guau qué bonito, no le llego ni a la suela del zapato, pero ya verás como algún día, algún día…» y pienso que esta es la mejor forma tomarlo. Así hay que enfrentarse a la belleza en tu disciplina: recibe con gusto el shock que te provoca, asume con modestia que te queda camino para llegar ahí y ponte a trabajar para ello.

Trabaja con la intención de lo que hagas sea infinitamente bello.

Para qué sirve un certificado de tipo OV

Los certificados OV (Organization Validation) están entre los certificados DV (Domain Validation) y EV (Extended Validation), tenéis una definición en la entrada sobre los tipos de certificado de seguridad. Además del dominio, el certificado OV nos asegura que ese dominio pertenece a la organización que se indica. En principio no parece una utilidad loca, y los navegadores actuales no diferencian este tipo de certificado de ninguna forma particular.

El hecho de que el certificado valide también la organización, permite evitar algunos casos de phishing. Por ejemplo, yo puede solicitar un certificado de tipo DV para cualquier dominio, solo tengo que demostrar que la gestión del dominio es mía. Así, puedo contratar el dominio bancosantand.er (como curiosidad .er es el ccTLD de Eritrea ;), crear una página web lista para conseguir tus claves del banco, y poner un bonito certificado DV que me asegure que todo el tráfico entre el cliente y la página web está cifrado. Todo perfecto y «seguro» porque la web lleva candadito.

Esto no podría ocurrir con un certificado de tipo OV. Para conceder un certificado OV, la Autoridad Certificadora, solicitará información comercial sobre la empresa del sitio que deberá estar incluida en alguna base de datos de registro mercantil o algún directorio de empresa de confianza. No solo la comunicación está cifrada, sino que el destinatario de esa comunicación es una empresa validada.

¿Cómo sé el tipo de certificado instalado? ¿Cómo sé a quién estoy enviando mis datos? Ahora mismo, la única forma es yendo al detalle del certificado y comprobar que se muestra la organización dentro del Subject Name. En Firefox puedes comprobar el tipo del certificado en la sección Certificate Policies del detalle del certificado:

"Certificate Policies" de un certificado de tipo OV tal y como se muestran en Firefox
Detalle del certificado en Firefox – Certificate Policies

En el caso de los EV, se muestra esta información más claramente… aunque solo un poco más:

Los certificados OV tienen su utilidad, pero es difícil que un usuario normal vaya a buscar esta información en el certificado. De hecho, no tengo todas conmigo que, ahora mismo, vayan más allá del «candadito», y que el tráfico vaya cifrado no significa que tus datos estén a salvo.

Los nombres de dominio más caros

El dominio shoes.com se ha vendido por tercera vez en 6 años, ¿merece la pena pagar por esos dominios premium? Algunos no solo dirán que sí, si no que basan su exitoso modelo de negocio en ellos, desde SEDO a Dan o los propios registries que tienen sus propios nombres de dominio premium, además de aquellos dominios de 1 o 2 caracteres. Y les va bien, SEDO lleva funcionando desde 2001.

Existe un amplio mercado para estos dominios golosos, que van desde cientos a millones de euros. ¿Valen ese dinero? ¿Para qué querríamos gastarnos miles de euros en un dominio? Vamos a ver algunos de los dominios más caros (la lista varía, pero nos vale para hacernos una idea):

DominioPrecio de venta (mill. de USD)Año de venta
CarInsurance.com49,72010
Insurance.com35,62010
VacationRentals.com35,02007
PrivateJet.com30,12012
Voice.com30,02019
Internet.com18,02009
360.com17,02015
Insure.com16,02009
Sex.com14,0
13,0
2005
2010
Hotels.com11,02001
El mundo está loco, loco, loco…

¡Guau! Sin duda 2010 fue un gran año para algunos.

Como vemos, la mayoría son nombres genéricos, susceptibles de convertirse en buscadores y muchos ya tienen un contenido detrás, es decir no compras solo el nombre, sino el negocio que ya hay o que puede haber (la historia que hay sobre alguna de estas compras).

Si eres una empresa, puedes permitirte el lujo de pagar por ciertos dominios (¿millones?) para posicionar tu marca, abrir un nuevo negocio o lo que sea, sobre todo si compras algo más que el nombre, si compras visitas, ingresos, etc. Puede que tenga cierta lógica.

Si eres un particular y esperas forrarte con un dominio, diría que tu tiempo ha pasado (creo) y ándate con ojo no salgas esquilmado.

Encontrar el nombre del dominio adecuado, el nombre para una marca, no es sencillo, pero piensa que algunas de las empresas actuales más importantes tienen unos nombres bastante mejorables, y ahí andan (¡Hola Microsoft, Apple…!)