Contrata un dominio local

La extensión .com representa más del 37% de todos los dominios registrados. Seguramente no sea el 37%, igual es más o tal vez sea menos, pero lo que está claro es que es la extensión más popular a nivel mundial con mucha diferencia. ¿Realmente es necesario tener un .com? Como todo… depende.

Equiparación del .com con otros TLD genéricos

La extensión .com lleva años de ventaja a todas los demás, pero hoy en día existen muchas y variadas alternativas. Los nuevos gTLD van estabilizándose (echa un vistazo a new gTLD statistics) y aunque sigue habiendo TLD peregrinos (¿en serio .xyz? ¿en serio hacia falta?) hay unas cuantas extensiones que pueden repartirse parte de lo que ha sido el .com porque:

  • Son igual de genéricas (.online, .site…)
  • Son más específicas y dicen más sobre tu web (.design, .tienda…)
  • Son más originales, transmiten algo distinto (.blue, .uno…)
  • Son locales (.eus, .gal…)

Ninguna va a hacer que el dominio .com se tambalee (aunque seguro que sí que hacen daño a otros como al .net, por ejemplo), pero en su conjunto irán sumando entradas poco a poco. Además, Verisign va a ir aumentando el precio del .com de forma significativa, con lo que, a ese nivel, se podrá equiparar a los nuevos gTLD.

For years, the wholesale price of .com domains was frozen at $7.85 after the Obama administration nixed annual price hikes. But under the Trump administration, the National Telecommunications and Information Administration granted Verisign the right to increase prices 7% per year for the last four years of each six-year contract extension. This will be the second price hike under the current contract, so you can expect prices to increase 7% again in 2023 and 2024, too.

Domain Name Wire – Verisign announces another .com price hike

ccTLD y gTLD geográficos

Todo el mundo quiere un .com y es en lo primero que piensas cuando vas a elegir un dominio, sin embargo, hay extensiones tanto o más exitosas que el .com en según qué países, como puede ser el .uk (Reino Unido), .es (en España) o el .de (en Alemania).

La razón más evidente para escoger uno de estos dominios es que tu empresa sea de ese país o que te estés dirigiendo principalmente a un público de ese país, aunque no tiene por qué ser así necesariamente (p.ej. la terminación es se utiliza en los plurales en inglés, mediaqueri.es, no es que sea la mejor idea del mundo, pero ahí está).

Otro motivo es que estas extensiones suelen estar gestionadas por organizaciones públicas, el precio suele estar más controlado, y no dependen de la ICANN (esto es bueno para algunas cosas y malo para otras). Esto no es así para los gTLD geográficos como .eus, por ejemplo, pero sí suelen tener un enfoque de fundación más que de empresa de dominios y sus motivaciones suelen/pueden ser otras.

Yo soy un admirador de la extensión .eu, por ejemplo (y ya sé que estás leyendo esto en un dominio .com ;)

En fin, que si el dominio que quieres no está bajo .com, igual es una buena noticia.

El Tesoro de EE.UU. puede impedirte registrar un dominio o contratar un certificado

Hay una serie de motivos curiosos por las que te pueden denegar el registro de un nombre de dominio o un certificado SSL. Quizá no te haya tocado, pero si solicitas un certificado que contenga el nombre de alguno de los países que estén en la lista negra del gobierno de los EUA, seguramente te lo denieguen. Si vendes alfombras persas y tu negocio se llama alfombrasdeiran.com date por fastidiado si vas a pedir un certificado a alguna empresa estadounidense, como puede ser Digicert (Thawte, Geotrust…). Es más, depende de la extensión, puedes tener problemas también a la hora de solicitar el propio dominio, por ejemplo si el titular es de Irán y quiere pedir un .info, gestionado por Afilias, recién comparada por Donuts Inc.

Todas las empresas estadounidenses, incluidas los registries o las Autoridades Certificadoras, están obligadas a cumplir las leyes de EUA, y esto incluye las sanciones y limitaciones a las que obliga la OFAC (Office of Foreign Assets Control – Oficina de Control de Activos Extranjeros)

[…] we are not permitted to provide services to, nor engage in any transactions with countries, regions, entities, or individuals targeted by applicable US trade sanctions (OFAC listings), whether directly or indirectly, unless authorized under applicable laws.

De hecho, la propia ICANN es una empresa estadounidense, aunque desde el 6 de enero de 2017, se finaliza el último acuerdo formal con el Gobierno de Estados Unidos (ver «La relación entre la ICANN y el Gobierno de Estados Unidos»).

Lo dicho, curioso.

Qué es y para qué sirve DNSSEC

Vaya por delante que mi relación con las DNS es, digamos que distante, así que al añadirle apellidos la cosa se me complica.

Para qué vale DNSSEC

Quizá lo más interesante de DNSSEC es saber para qué te puede valer. En este vídeo ochentero (es de 2013, pero parece más antiguo, ¿verdad?) lo explican de forma sencilla:

About DNSSEC (Animated Introduction – With Text Narration)

DNSSEC sirve para impedir que alguien suplante a nuestros servidores DNS y nos proporcione información falsa, evitando la suplantación de servicios de terceros.

Aunque DNSSEC está bastante extendido, no todos los registradores ni todos los registros lo permiten.

¿Cómo funciona DNSSEC?

Autenticando la información mediante un cifrado asimétrico. Aquí empieza la parte más complicada ya que todo el contenido debe ir firmado para asegurar su autenticidad y todos los miembros de la cadena deben ser capaces de validar esa firma, hasta llegar a los servidores DNS raíz. Toda la cadena debe estar configurada para permitir DNSSEC.

De forma resumida, para un dominio:

  • Los servidores DNS deben estar configurados para permitir DNSSEC
  • Se firma la zona del dominio usando 2 pares de claves de seguridad: Zone Signing Key (ZSK) y Key Signing Key (KSK)
    • ZSK se utiliza para firmar la zona del dominio; es quien dice «Estos son mis registros DNS, provienen de mi servidor y deben ser así». Para ello utiliza registros DNS de tipo RRSIG para cada uno de los record sets (conjunto de registros del mismo tipo y nombre)
    • KSK se utiliza para firmar los registros DNSKEY que contendrán las claves públicas de las firmas, tanto ZSK como KSK, y que también tendrán su correspondiente RRSIG asociado.
Diagrama de claves de firma de claves
Diagrama de claves de firma de clave (imagen de CloudFlare)
  • Para transmitir esta información, hay que trasladar la clave pública de KSK a la zona padre. Esto se hace con el registro Delegation Signer (DS), que contiene la clave pública hasheada.
    Cada vez que un resolver se dirige a una zona secundaria, la zona principal también proporciona un registro DS. Este registro DS es la forma en que los resolvers saben que la zona secundaria está habilitada para DNSSEC. Como el DS es un registro «normal», también irá firmado y se irá subiendo en la cadena de confianza hasta la zona DNS raíz. Como curiosidad, como no hay nadie que valide este último registro, se realiza una Ceremonia pública en la que una serie de autoridades realizan la firma de las claves de la zona raíz.
Validación de la cadena de confianza para www.eurid.eu

A todo esto hay que añadir que conviene cambiar las claves ZSK y KSK cada cierto tiempo… con lo que ellos supone de transmisión hacia arriba de los cambios.

Como las KSK se usan para firmar las claves, suelen ser más robustas y hay que modificarlas menos a menudo. Para las ZSK se usan claves más débiles y estas sí se suelen rotar por ejemplo cada 2-3 meses.

Los registros DNS implicados

Ya hemos visto que se están creando bastantes registros nuevos para poder firmar y autenticar estas firmas:

  • RRSIG. Contiene la firma digital de cada resource record set. Esta firma se verifica con la clave pública almacenada en los registros DNSSKEY.
  • DNSKEY. Contiene la clave pública necesaria para validar las firmas de los registros RRSIG.
  • DS (Delegation Signer). Identifica una zona delegada. Hace referencia a un registro DNSKEY en la zona subdelegada. El registro DS se coloca en la zona padre junto con los registros NS delegados.

Adicionalmente aparecerán registros NSEC o NSEC3 (para denegar de forma explícita la existencia de un registro DNS) y también pueden aparecer registros CDNSKEY y CDS para zonas secundarias que soliciten actualizaciones de registros DS en la zona principal.

Referencias

  • Echad un ojo a la explicación de CloudFlare sobre cómo funciona DNSSEC (How DNSSEC works). De lo que he visto es la que mejor aclara qué es y cómo funciona DNSSEC.
  • Si queréis ver cómo es la Root Signing Ceremony, ICANN publica los vídeos en YouTube ;) No esperéis un fiestón con alcohol y stripers.
    Ólafur Guðmundsson (CloudFlare) estuvo invitado y explica el proceso en el artículo The DNSSEC Root Signing Ceremony.
  • No viene mal recordar el cifrado asimétrico, que es lo que nos permite autenticar a las partes en todo este jaleo:
  • Y puedes analizar el estado DNSSEC con el DNSSEC Debugger de Verisign Labs:

Los nombres de dominio más caros

El dominio shoes.com se ha vendido por tercera vez en 6 años, ¿merece la pena pagar por esos dominios premium? Algunos no solo dirán que sí, si no que basan su exitoso modelo de negocio en ellos, desde SEDO a Dan o los propios registries que tienen sus propios nombres de dominio premium, además de aquellos dominios de 1 o 2 caracteres. Y les va bien, SEDO lleva funcionando desde 2001.

Existe un amplio mercado para estos dominios golosos, que van desde cientos a millones de euros. ¿Valen ese dinero? ¿Para qué querríamos gastarnos miles de euros en un dominio? Vamos a ver algunos de los dominios más caros (la lista varía, pero nos vale para hacernos una idea):

DominioPrecio de venta (mill. de USD)Año de venta
CarInsurance.com49,72010
Insurance.com35,62010
VacationRentals.com35,02007
PrivateJet.com30,12012
Voice.com30,02019
Internet.com18,02009
360.com17,02015
Insure.com16,02009
Sex.com14,0
13,0
2005
2010
Hotels.com11,02001
El mundo está loco, loco, loco…

¡Guau! Sin duda 2010 fue un gran año para algunos.

Como vemos, la mayoría son nombres genéricos, susceptibles de convertirse en buscadores y muchos ya tienen un contenido detrás, es decir no compras solo el nombre, sino el negocio que ya hay o que puede haber (la historia que hay sobre alguna de estas compras).

Si eres una empresa, puedes permitirte el lujo de pagar por ciertos dominios (¿millones?) para posicionar tu marca, abrir un nuevo negocio o lo que sea, sobre todo si compras algo más que el nombre, si compras visitas, ingresos, etc. Puede que tenga cierta lógica.

Si eres un particular y esperas forrarte con un dominio, diría que tu tiempo ha pasado (creo) y ándate con ojo no salgas esquilmado.

Encontrar el nombre del dominio adecuado, el nombre para una marca, no es sencillo, pero piensa que algunas de las empresas actuales más importantes tienen unos nombres bastante mejorables, y ahí andan (¡Hola Microsoft, Apple…!)

Como evitar que usen tu dominio para hacer phishing

Quizá tengas un dominio que no estés utilizando, que lo tengas en parking, redirigido o simplemente a la espera. En ese caso, puede ser una buena idea bloquear que nadie lo pueda utilizar para enviar emails en tu nombre.

¿Has oído hablar del phishing? Aunque no hayas oído hablar de él, lo que es seguro es que lo has sufrido. Esos correos que parecen que son de tu banco, de una ONG, de tu compañía eléctrica o de telefonía y que te envían a un sitio web donde debes introducir tu usuario y contraseña o tu tarjeta de crédito. Eso es el phishing: correos que suplantan a las verdaderas entidades para engañarte conseguir información (normalmente datos bancarios o contraseñas).

¿Sabrías reconocer el phishing?

Google ha creado un pequeño test en el que te explica cómo puedes detectar si un correo es real o es un intento de phishing.

Está disponible en: https://phishingquiz.withgoogle.com/

Vamos a suponer ahora que no solo eres el receptor de esos correos sino que esos mardito roedore están utilizando alguno de tus dominios para hacer el mal. La buena noticia es que tiene solución.

Si no estás utilizando tu dominio para el envío de correo (p.ej. puede que sea un dominio paraguas para redirigir a tu dominio principal), puedes forzar a que se deniegue todo intento de envío de correo en nombre de ese dominio, que cualquiera que reciba un email de ese dominio sepa que no está autorizado. Para eso utilizaremos SPF y DMARC.

SPF (Sender Policy Framework) es la forma más sencilla de otorgar o denegar permiso a terceros para utilizar. Para lo que nos interesa a nosotros ahora, lo que vamos a hacer es prohibir cualquier envío en nombre de nuestro dominio. Para ello, vamos a suponer que el dominio que no queremos que permita envíos se llama sasa.eh (existe la extensión .eh, por cierto, y se corresponde con el Sáhara Occidental). Usando SPF añadiremos la siguiente entrada DNS de tipo TXT en el dominio:

@  IN  TXT  "v=spf1 -all"

Con esto ya estamos impidiendo enviar emails utilizando nuestro nombre de dominio.

SPF es sencillo, pero no es perfecto. Una vuelta de tuerca adicional vino con DKIM. DKIM te permite cifrar los envíos de forma que el destinatario puede comprobar si la clave que recibe fue realmente emitida por el dominio en nombre del que se realiza el envío. Esto ya requiere un esfuerzo adicional por parte de los servidores de correo y es menos sencillo de implementar que el SPF. Para nuestro caso de uso, esto nos da igual, pero es importante saber que existe DKIM.

Cómo funciona DMARC (de Valimail)

DMARC, se apoya en SPF y DKIM para otorgar autenticidad al remitente del envío. Aquí también se trata de añadir entradas DNS en el dominio de forma que indiquen cómo debe comportarse en caso de que se pase la validación SPF o DKIM. Como nosotros lo que queremos es no permitir ningún envío desde sasa.eh, vamos a ser totalmente restrictivos y añadiremos esta entrada DNS de tipo TXT:

_dmarc  IN  TXT  "v=DMARC1; p=reject"

Con estas dos entradas DNS, estamos bloqueando que utilicen nuestro dominio para realizar envíos no autorizados.