Episode 5

DNS humano

Mientras viajamos por la jerarquía de hijo a padre para saber si el registro DS es de confianza, llegaremos a la cima donde no se permiten computadoras.

Mientras viajamos por la jerarquía de hijo a padre para saber si el registro DS es de confianza, llegaremos a la cima donde no se permiten computadoras.

La zona raíz es el último padre con un registro DS.

La zona raíz es el último padre con un registro DS.

El registro DNSKEY creado por la clave de firma de clave en la zona raíz se verifica a sí mismo. Pero, ¿quién estableció la confianza en este registro?

El registro DNSKEY creado por la clave de firma de clave en la zona raíz se verifica a sí mismo. Pero, ¿quién estableció la confianza en este registro?

¡HUMANOS!

**¡HUMANOS!**

La ceremonia de firma de la raíz es un evento donde humanos se reúnen para rotar la clave DNSKEY superior y firmarla.

La ceremonia de firma de la raíz es un evento donde humanos se reúnen para rotar la clave DNSKEY superior y firmarla.

Sucede cuatro veces al año.

Sucede cuatro veces al año.

Todo esto se realiza en un lugar seguro con un alto grado de supervisión por firmas de auditoría.

Todo esto se realiza en un lugar seguro con un alto grado de supervisión por firmas de auditoría.

Los humanos participantes solo pueden realizar unas pocas acciones, asegurando que incluso un grupo de villanos no pueda comprometer el evento.

Los humanos participantes solo pueden realizar unas pocas acciones, asegurando que incluso un grupo de villanos no pueda comprometer el evento.

El resultado de esa ceremonia es un nuevo registro RRSIG que puede usarse para verificar el DNSKEY en la raíz.

El resultado de esa ceremonia es un **nuevo registro RRSIG** que puede usarse para verificar el DNSKEY en la raíz.

Recorramos la cadena de confianza juntos, comenzando en la raíz.

Recorramos la cadena de confianza juntos, comenzando en la raíz.

Cuando navegas a dnsimple.com, el recusor DNS pregunta a la raíz la ubicación del servidor .com.

Cuando navegas a dnsimple.com, el recusor DNS pregunta a la raíz la ubicación del servidor .com.

El recusor asumirá que el DNSKEY de la clave de firma de clave en la raíz es confiable porque lo generaron humanos.

El recusor asumirá que el DNSKEY de la clave de firma de clave en la raíz es confiable porque lo generaron humanos.

Ahora que confiamos en la clave de la zona raíz (¡gracias, misteriosos humanos de la ceremonia!), podemos verificar .com, luego dnsimple.com y finalmente www.dnsimple.com

Ahora que confiamos en la clave de la zona raíz (¡gracias, misteriosos humanos de la ceremonia!), podemos verificar .com, luego dnsimple.com y finalmente www.dnsimple.com

Si algún enlace falla, como si un registro DS no coincide con el DNSKEY, DNSSEC alerta al recusor.

Si algún enlace falla, como si un registro DS no coincide con el DNSKEY, DNSSEC alerta al recusor.

El recusor se niega entonces a pasar la respuesta no confiable a tu dispositivo.

El recusor se niega entonces a pasar la respuesta no confiable a tu dispositivo.

Es básicamente un gran Acceso denegado para cangrejos maliciosos, datos manipulados o hackers ineptos.

Es básicamente un gran **Acceso denegado** para cangrejos maliciosos, datos manipulados o hackers ineptos.

Así es DNSSEC en pocas palabras

Así es DNSSEC en pocas palabras

Las claves de firma de zona firman los datos.

Las claves de firma de zona firman los datos.
Las claves de firma de clave firman las claves de firma de zona.
Las claves de firma de clave firman las claves de firma de zona.

Los registros DS en la zona padre certifican la autenticidad de la zona hija.

Los registros DS en la zona padre certifican la autenticidad de la zona hija.

La zona raíz se valida por humanos reales, asegurando que todo el árbol DNS esté anclado en confianza.

La zona raíz se valida por humanos reales, asegurando que todo el árbol DNS esté anclado en confianza.

Ahora que has visto cómo funciona todo, ¡ve y asegura tus dominios con DNSSEC!

Ahora que has visto cómo funciona todo, ¡ve y asegura tus dominios con DNSSEC!

¡El mundo DNS será un lugar más seguro, sin importar cuántos cangrejos intenten manipular tu tráfico!

¡El mundo DNS será un lugar más seguro, sin importar cuántos cangrejos intenten manipular tu tráfico!
¿Listo para poner a prueba tus habilidades DNSSEC? Sumérgete en nuestra aventura de texto y comprueba si puedes vencer cada amenaza en el reino DNS. Jugar