DNSSEC (DNS Security Extensions) e um conjunto de extensoes do DNS que adiciona autenticacao criptografica aos registros. Resolvedores validantes verificam assinaturas (RRSIG) usando chaves publicas (DNSKEY) ancoradas por um hash (DS) no dominio pai. Sem DNSSEC, respostas DNS podem ser forjadas via cache poisoning, redirecionando trafego para servidores maliciosos.

O que e o registro CAA?

CAA (Certification Authority Authorization) e um registro DNS que indica quais Autoridades Certificadoras podem emitir certificados TLS para o dominio. Desde 2017 e obrigatorio que as CAs consultem CAA antes de emitir. Reduz risco de mis-issuance: se um atacante consegue validar dominio em uma CA nao autorizada, a emissao deve ser bloqueada.

Como esta ferramenta consulta DNS?

Usamos DNS over HTTPS (DoH) do Cloudflare (1.1.1.1) e como fallback o Google (8.8.8.8). Ambos sao resolvedores validantes - se o dominio for assinado e a validacao DNSSEC for bem-sucedida, a resposta vem com a flag AD (Authenticated Data) ativada. Tudo roda no navegador via JavaScript; os dominios consultados nao passam por nossos servidores.

Por que minha empresa deveria habilitar DNSSEC?

DNSSEC mitiga ataques de cache poisoning e DNS hijacking, protege a integridade da resolucao de nomes do seu dominio e e requisito implicito de alguns frameworks de seguranca (NIST SP 800-81, requisitos governamentais em varios paises). O custo operacional caiu muito - registrars como Registro.br, Cloudflare, Route 53 oferecem assinatura automatica.

O que o registro DS faz?

O DS (Delegation Signer) e um hash do DNSKEY do dominio filho, publicado pelo dominio pai (ex: .br para empresa.com.br). E o que ancora a cadeia de confianca DNSSEC - sem DS no pai, mesmo que voce publique DNSKEY no seu dominio, resolvedores nao tem como validar autenticidade da chave. E o passo final para 'ligar' DNSSEC.

Validador DNS e DNSSEC Online | Inteligencia Brasil

Name: Validador DNS e DNSSEC
Author: Inteligencia Brasil

O Que e DNS?

DNS (Domain Name System) e o sistema que traduz nomes legiveis (empresa.com.br) em enderecos IP (203.0.113.10). E uma das infraestruturas mais criticas da internet - se o DNS do seu dominio cair ou for sequestrado, todos os servicos associados (site, e-mail, APIs, VPN) param ou sao redirecionados para servidores controlados por atacantes.

Cada tipo de registro DNS tem um proposito especifico. Os principais que esta ferramenta analisa:

A - mapeia o dominio para um IPv4
AAAA - mapeia para um IPv6 (essencial em 2026; provedores Brasileiros tem dual stack)
MX - aponta para o(s) servidor(es) que recebem e-mail
NS - lista os servidores autoritativos do dominio (responsaveis por responder consultas)
SOA - metadata do dominio (servidor primario, contato administrativo, serial)
TXT - texto livre, usado para SPF, DKIM, DMARC, verificacao de propriedade, etc.
CAA - lista quais CAs podem emitir TLS

O Que e DNSSEC?

DNSSEC (DNS Security Extensions) adiciona assinatura criptografica aos registros DNS. Sem DNSSEC, um atacante que consiga envenenar o cache de um resolvedor (ou interceptar a conexao com o servidor autoritativo via BGP hijack) pode forjar respostas - direcionando seus usuarios para um site falso ou interceptando seu e-mail.

Com DNSSEC, cada registro vem com um RRSIG (assinatura) que pode ser validada usando o DNSKEY publicado pelo seu dominio. Esse DNSKEY, por sua vez, e ancorado por um hash (DS) publicado no dominio pai - formando uma cadeia ate a raiz (.), cujas chaves estao no root trust anchor distribuido com todos os sistemas operacionais.

Quando um resolvedor validante (como Cloudflare 1.1.1.1, Google 8.8.8.8 ou Quad9) responde a uma consulta, ele:

Consulta os DS no pai, depois DNSKEY no filho, depois RRSIG dos registros
Valida cada assinatura recursivamente ate a raiz
Se tudo bate, retorna a resposta com a flag AD (Authenticated Data) ativada

E essa flag AD que esta ferramenta verifica para indicar "DNSSEC validado". Sem ela, mesmo que voce tenha DNSKEY publicado, a cadeia esta quebrada.

Caminho recomendado para ativar DNSSEC

(1) Habilite assinatura no seu provedor de DNS (Cloudflare, Route 53, Registro.br Premium, Azure DNS - todos oferecem assinatura automatica de KSK/ZSK). (2) Copie o hash DS gerado. (3) Publique-o no registrar do dominio (Registro.br, GoDaddy, etc.). (4) Aguarde a propagacao (~24h). (5) Valide aqui ou em dnsviz.net.

Registro CAA

CAA (Certification Authority Authorization, RFC 8659) e um registro DNS que indica quais Autoridades Certificadoras estao autorizadas a emitir certificados TLS para seu dominio. Desde setembro de 2017 e obrigatorio que as CAs consultem CAA antes de emitir um certificado - inclusive Let's Encrypt, DigiCert, Sectigo, GlobalSign e GoDaddy.

Exemplo de configuracao restritiva:

empresa.com.br. CAA 0 issue "letsencrypt.org"
empresa.com.br. CAA 0 issuewild ";"
empresa.com.br. CAA 0 iodef "mailto:[email protected]"

Esse exemplo diz: "Apenas Let's Encrypt pode emitir certificados; ninguem pode emitir wildcards; envie um e-mail para nossa equipe de seguranca se alguem tentar uma emissao nao autorizada."

CAA nao impede mis-issuance se a CA ignorar a regra (ja aconteceu - Symantec foi punida em 2017), mas reduz drasticamente o risco no caso comum e cria um log auditavel via Certificate Transparency.

Como a Nota e Calculada

A nota (0-100) e a soma ponderada de:

+30 - DNSSEC validado (flag AD presente em consulta autoritativa)
+20 - DS publicado no dominio pai (ancorando a cadeia de confianca)
+15 - CAA configurado (reducao de risco de mis-issuance)
+15 - Suporte a IPv6 via AAAA (postura moderna de rede)
+10 - 2+ servidores NS (resiliencia minima de DNS)
+10 - TXT presente (sinal de autenticacoes configuradas como SPF/DKIM/DMARC)

Classificacao:

90-100 - Excelente: postura DNS robusta
70-89 - Bom: alguns ajustes pontuais recomendados
50-69 - Regular: gaps relevantes - planeje correcao
0-49 - Critico: postura DNS abaixo do esperado

Perguntas Frequentes

O que e DNSSEC?

DNSSEC adiciona assinatura criptografica aos registros DNS, permitindo que resolvedores validem autenticidade. Mitiga cache poisoning, DNS hijacking e ataques de homem-no-meio na resolucao.

O que e CAA?

CAA indica quais Autoridades Certificadoras podem emitir certificados TLS para seu dominio. CAs sao obrigadas a respeitar essa diretriz desde 2017 (CA/Browser Forum).

Esta ferramenta consulta DNS real?

Sim. Usamos DNS over HTTPS (DoH) do Cloudflare (1.1.1.1) e Google (8.8.8.8) para consultar registros DNS publicos. Nenhum dado e enviado para nossos servidores.

Por que habilitar DNSSEC?

DNSSEC e a unica defesa criptografica contra DNS spoofing e cache poisoning. E exigido por diversos frameworks (NIST SP 800-81) e e simples de habilitar - todos os provedores grandes oferecem assinatura automatica.

O que e o registro DS?

DS (Delegation Signer) e um hash do DNSKEY publicado pelo seu dominio - mas armazenado no dominio pai (.br para empresa.com.br). E o que ancora a cadeia de confianca DNSSEC ate a raiz.

O que cada nota significa?

Nota combina DNSSEC validado (+30), DS no pai (+20), CAA (+15), IPv6 (+15), 2+ NS (+10) e TXT (+10). Excelente (90+) e postura robusta; Critico (<50) indica gaps relevantes.

Sua empresa precisa de ajuda com a postura DNS?

Implementamos DNSSEC, CAA e governanca DNS

Avaliamos sua superficie DNS, ativamos DNSSEC ponta a ponta (registrar + DNS authority), implementamos CAA com politicas alinhadas as CAs em uso e configuramos monitoramento via Certificate Transparency.

Solicitar Proposta