Home / Blog / DNS e a troca de chaves de criptografia dos servidores raiz. Saiba como funciona

DNS e a troca de chaves de criptografia dos servidores raiz. Saiba como funciona

dns

No dia 11 de Outubro, a ICANN estará alterando as chaves de criptografia dos servidores de DNS raiz – DNS root servers – da Internet. Estas chaves de criptografia, são o que garantem a autenticidade dos registros DNS. Leia aqui sobre o DNS e a troca de chaves de criptografia.

Ok. Eu já me perguntei porque o motor do meu carro funciona. Contudo, nem todos se fazem esta pergunta. Da mesma maneira que quase ninguém se pergunta como a internet funciona.

Para a maioria das pessoas, clica-se em um ícone da tela do computador, um programa é aberto na tela (Internet Explorer. Firefox. Chrome), e depois digita-se o nome do site que se quer ir; por exemplo: www.indicca.com.br. Pronto, acessamos o site. Mágica! Da mesma maneira que magicamente o carro começa a funcionar quando eu giro a chave da ignição e posso ir de casa para o trabalho!

Felizmente ninguém acredita em Harry Potter, e sabemos que nenhumas destas duas situações realmente ocorrem pelos poderes místicos do Universo ou alinhamento correto dos planetas. Da mesma maneira que o automóvel evoluiu da maçaneta de ignição do Ford T ao botão de “Start” dos modelos mais modernos, a Internet também evoluiu desde a sua criação como ARPNET.

DNS e a troca de chaves de criptografia dos servidores raiz.

Parte desta evolução e umas das principais ferramentas para que possamos acessar um site na Internet, se chama de serviço de DNS – Domain Name System – https://pt.wikipedia.org/wiki/Domain_Name_System. Este serviço é o responsável pela tradução de um nome que as pessoas entendam e consigam se lembrar, para um número de IP, que é o Identificador de um computador, e o que faz que um computador consiga se comunicar com outro. Imagine se ao invés de digitar www.iana.org tivéssemos que digitar http:// 192.0.32.8?

Contudo, um computador só consegue se conectar ao outro e buscar o site que você precisa, usando o seu endereço IP, exemplo: http:// 192.0.32.8. O serviço de DNS é o que possibilita que você possa digitar www.iana.org, e ele que se encarrega de traduzir o nome para o número IP e fazer com que o coelho surja da cartola.

dns e a troca de chaves

Como tudo começou?

No início, lá pela década de setenta do século passado, existiam arquivos de texto com uma lista de números IPs e nomes de servidores que todos os computadores que se conectavam na ARPNET/Internet tinham que ter para poder fazer a tradução do nome para o IP. Com a explosão da utilização da Internet, os engenheiros viram logo que era impossível manter este esquema e acabaram inventando o serviço de DNS.

Com o serviço de DNS, cada computador ainda mantém um arquivo com uma lista de nomes de servidores e IPs. Só que atualmente, esta lista é de exatamente apenas 13 servidores espalhados pelos continentes do planeta. Os chamados servidores de DNS raiz – DNS root servers.

Cada um destes servidores DNS raiz, é responsável por manter uma cópia atualizada de outros servidores de DNS regionais, e estes  são responsáveis por manter outra lista de servidores de DNS de domínios, e é finalmente nos servidores de domínio DNS que existe a listagem final do IP do servidor com o nome de site que você pretende visitar. Ou seja, o seu computador nunca sabe qual o endereço IP do site que você quer, mas ele conhece o cara que conhece o outro cara que sabe. Basta perguntar a ele.

É complicado? É! Mas, ainda assim é muito mais fácil do que ter se lembrar do número IP de todos os servidores dos sites que você precisa acessar, ou manter um arquivo com os bilhões de pares de nomes e IPs de servidores para cada site, computadores, smart phone, smart TV, smart watch, e a tonelada de equipamentos que são diariamente conectados à Internet todos os dias.

Entendendo como funciona o serviço de tradução DNS, dá para se imaginar os problemas que podem ser causados se, ao invés de todo o computador consultar o servidor RAIZ, tentar consultar outro servidor qualquer. Será que o registro deste servidor qualquer é atual? Será que ele irá me direcionar para o site certo, ou ele pode me direcionar para um site falso?

Todos estes problemas já aconteceram. Para evitá-los, uma evolução do serviço de DNS foi necessária e foi criado o DNSSEC – Domain Name System Security Extensions – https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions. Foi decido pelos órgãos gestores da Internet que, para garantir que a autenticidade dos servidores de DNS, seriam utilizados certificados digitais de criptografia de chave pública, também chamada de criptografia assimétrica.

Estes certificados garantem de uma forma matemática, a qualquer computador do mundo, que a resposta que ele receber de um servidor DNS raiz, é realmente proveniente dele de forma autêntica sem a possibilidade de ter sido adulterada. Ou seja, você pode ficar tranquilo que o cara que deu a resposta era realmente o cara que deveria saber e que sabia a resposta à sua pergunta.

DNS e a troca de chaves de criptografia dos servidores raiz. Saiba como funciona

Para se ter idéia de como estes tipos de chaves são importantes para o funcionamento correto da Internet, a ICANN (https://en.wikipedia.org/wiki/ICANN) , órgão responsável pela concessão de nomes de domínios da Internet, realiza uma cerimônia de troca de chaves dos servidores regionais a aproximadamente cada três meses.

Estas cerimônias seguem um rígido protocolo de segurança, sem deixar nada a desejar para os filmes de ação tipo “Missão Impossível”. Você pode ler o relato de Ólafur Guðmundsson que participou da última cerimônia ocorrida agora no mês de agosto, no link: https://www.cloudflare.com/dns/dnssec/root-signing-ceremony/

Neste ponto, você pode estar se perguntado, se as chaves são trocadas a cada três meses, o que tem de tão importante no dia 11 de outubro? Desta vez, seguindo um projeto de melhoria de segurança do DNSSEC, as chaves passarão a ter 2048 bits de comprimento, diferentemente das chaves anteriores. E o mais importante de tudo, a cada três meses são alteradas as chaves de validação dos servidores regionais, desta vez serão alteradas as chaves dos servidores raiz.

Como foi explicado anteriormente, todas as traduções de nomes para IP são iniciadas com perguntas aos servidores raiz. Saber que a resposta vem autenticamente deles é extremamente importante para se manter a Internet confiável. Ou você prefere arriscar que a sua transferência bancária pode não estar sendo feita realmente no site do seu banco?

Não precisa ter pânico! Como no caso dos carros, de tempos em tempos temos que fazer a revisão, trocar o óleo, etc… Em termos práticos, as novas versões dos softwares responsáveis pelo serviço DNS, já foram codificados para utilizarem as novas chaves.  O que precisa ser feito, é manter os sistemas atualizados, aplicando os updates dos fornecedores dos sistemas, ou então voltar a acreditar em mágica.

ANEXO I – Lista oficial dos DNS root Server disponibilizada pela IANA.

https://www.iana.org/domains/root/servers

Hostname           IP Addresses      Manager

a.root-servers.net           198.41.0.4, 2001:503:ba3e::2:30              VeriSign, Inc.

b.root-servers.net           192.228.79.201, 2001:500:200::b            University of Southern California (ISI)

c.root-servers.net           192.33.4.12, 2001:500:2::c                         Cogent Communications

d.root-servers.net           199.7.91.13, 2001:500:2d::d                      University of Maryland

e.root-servers.net           192.203.230.10, 2001:500:a8::e               NASA (Ames Research Center)

f.root-servers.net            192.5.5.241, 2001:500:2f::f                        Internet Systems Consortium, Inc.

g.root-servers.net           192.112.36.4, 2001:500:12::d0d               US Department of Defense (NIC)

h.root-servers.net           198.97.190.53, 2001:500:1::53                 US Army (Research Lab)

i.root-servers.net            192.36.148.17, 2001:7fe::53                       Netnod

j.root-servers.net            192.58.128.30, 2001:503:c27::2:30         VeriSign, Inc.

k.root-servers.net           193.0.14.129, 2001:7fd::1                           RIPE NCC

l.root-servers.net            199.7.83.42, 2001:500:9f::42                   ICANN

m.root-servers.net         202.12.27.33, 2001:dc3::35                       WIDE Project

 

 

1 comentário

Faça um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *