Parte 4 da série "Segurança Web na UE: 10 Passos Para uma Melhor Classificação"
O Alicerce Invisível
Antes de o navegador carregar um website, precisa de resolver o nome de domínio para um endereço IP. É isso que o Domain Name System (DNS) faz — e tem um problema fundamental: foi concebido em 1983 sem autenticação. Qualquer pessoa que consiga manipular respostas DNS pode redirecionar utilizadores para servidores arbitrários.
Um atacante na mesma rede pode forjar respostas DNS e redirecionar os seus clientes para uma cópia perfeita do seu website — com um certificado Let's Encrypt válido, se nenhum registo CAA restringir a emissão.
Adoção de DNSSEC na UE: 15,8%. Apenas um em cada seis domínios está protegido.
Os Números
- DNSSEC: 15,8% validados
- CAA (Certification Authority Authorization): 3,0%
- DANE/TLSA: inferior a 1%
97% dos domínios europeus não possuem registo CAA. Isto significa: qualquer autoridade de certificação no mundo pode emitir um certificado válido para o seu domínio — incluindo um atacante com acesso a uma CA comprometida.
O Que É o DNSSEC?
O DNSSEC (Domain Name System Security Extensions, RFC 4033-4035) assina criptograficamente as respostas DNS. O servidor de resolução pode verificar que a resposta provém genuinamente do servidor de nomes autoritativo e não foi adulterada.
Sem DNSSEC: o-seu-dominio.pt -> 93.184.216.34 (inverificável)
Com DNSSEC: o-seu-dominio.pt -> 93.184.216.34 + RRSIG (assinado criptograficamente)
Como Ativar o DNSSEC
O DNSSEC é ativado no fornecedor de DNS, não no seu servidor.
Passo 1: Verifique o Seu Fornecedor de DNS
A maioria dos grandes fornecedores suporta DNSSEC:
| Fornecedor | Suporte DNSSEC | Ativação |
|---|---|---|
| Cloudflare | Sim | Um clique no painel |
| AWS Route 53 | Sim | Via CLI ou consola |
| Google Cloud DNS | Sim | Via CLI ou consola |
| Azure DNS | Sim | Via portal ou CLI |
| OVH | Sim | Zona DNS > Ativar DNSSEC |
| Hetzner | Sim | Consola DNS > Ativar DNSSEC |
| GoDaddy | Sim | Definições do domínio > DNSSEC |
Passo 2: Ativar o DNSSEC
Na maioria dos fornecedores, trata-se de um único interruptor no painel de gestão DNS. O fornecedor gera as chaves DNSSEC e assina a zona automaticamente.
Passo 3: Adicionar o Registo DS no Registar
Se o seu fornecedor de DNS e o registar forem diferentes (por exemplo, domínio no PT.pt, DNS no Cloudflare), precisa de adicionar manualmente o registo DS no registar. O registo DS é a âncora de confiança — liga o seu domínio à assinatura DNSSEC.
O Cloudflare apresenta o registo DS que precisa de introduzir no seu registar.
Passo 4: Verificar a Validação
dig +dnssec o-seu-dominio.pt
Se a resposta contiver a flag ad (Authenticated Data), o DNSSEC está ativo e validado.
CAA: Quem Pode Emitir Certificados?
Um registo CAA (RFC 8659) define quais as autoridades de certificação que podem emitir certificados TLS para o seu domínio:
o-seu-dominio.pt. IN CAA 0 issue "letsencrypt.org"
o-seu-dominio.pt. IN CAA 0 issuewild ";"
issue "letsencrypt.org"— apenas o Let's Encrypt pode emitir certificadosissuewild ";"— ninguém pode emitir certificados wildcard
3% dos domínios da UE possuem registo CAA. Os restantes 97% confiam cegamente em todas as CA do mundo.
Erros Comuns
1. Ativar DNSSEC sem monitorização. Se as assinaturas DNSSEC expirarem (falha na rotação de chaves), o domínio torna-se inacessível para todos os resolvers que validam DNSSEC. Certifique-se de que o seu fornecedor roda as chaves automaticamente.
2. Definir CAA demasiado restritivo. Se mudar de fornecedor de CA e se esquecer de atualizar o registo CAA, a renovação do certificado falhará.
3. DANE sem DNSSEC. Os registos DANE/TLSA só funcionam com DNSSEC — sem a assinatura, um atacante pode forjar também o registo TLSA.
Contexto Regulamentar
- NIS2, art. 21.o, n.o 2 — a infraestrutura DNS faz parte das medidas de cibersegurança para redes e sistemas de informação
- NIS2, art. 28.o — obrigações específicas para prestadores de serviços DNS e registos de TLD
- RGPD, art. 32.o — o spoofing de DNS pode conduzir a phishing e, consequentemente, a violações de dados
Verifique a Segurança do Seu DNS
O SiteGuardian verifica a validação DNSSEC, registos CAA, DANE/TLSA e a higiene DNS (transferências de zona abertas, registos órfãos):
Na próxima semana na Parte 5: security.txt — a norma RFC 9116 que a ENISA recomenda e que 97,2% dos websites da UE não possuem.