La introducción de los nuevos dominios de nivel superior (TLD) como .music, .books, etc. aumentará el número de personas y organizaciones que agregan y eliminan entradas en los servidores DNS raíz (.) para su propio TLD.
Dados los TLD "yo". y "en", esto significa que tendrán diferentes protecciones para crear y administrar subdominios (myna.me., bitco.in.). Seguro que los servidores raíz tienen un protocolo establecido para trabajar con TLD, pero lo que quiere decir es que la capacidad de los TLD para interactuar con los servidores raíz no ha sido falsificada ni interceptada por un adversario.
Pregunta
El riesgo que me preocupa es, ¿qué es evitar que un actor malintencionado agregue o elimine hosts de NS? Si un hacker pudiera agregar un NS no autorizado para un TLD, eso obviamente le daría al atacante un control completo sobre todos los subdominios, los registros de DNSSec y muchos otros aspectos de la seguridad, incluido el SSL.
Hay otros problemas de seguridad que preocupan, como el proceso de registro para el portal web de registro de TLD, ¿están los controles correctos? ¿Se han realizado auditorías?
- ¿Hay casos documentados de piratería de DNS a nivel de TLD?
- ¿Qué mitiga este riesgo?
- ¿Hay algún estándar, acreditación o garantía en la que pueda confiar antes de usar un TLD de segundo nivel?
- ¿Hay algún tercero que observe las raíces de DNS de .COM / .NET / .ORG (etc.) y las supervise para detectar cambios?
Este riesgo es particularmente preocupante ya que cada vez más personas confían en los acortadores de URL para hacer URL "lindas". En esencia, están permitiendo a un tercero, cuyo gobierno puede no permitir protecciones de privacidad, juicios u otro tipo de soporte que de otro modo esperaríamos, si ese proveedor de DNS fuera hackeado.
Ejemplo de diferentes TLD que tienen algunos servidores de nombres, ¿cómo sabemos que estos servidores son correctos?
> com.
Server: a.root-servers.net
Address: 198.41.0.4
Name: com
Served by:
- m.gtld-servers.net
192.55.83.30
com
- l.gtld-servers.net
192.41.162.30
com
- k.gtld-servers.net
192.52.178.30
com
- j.gtld-servers.net
192.48.79.30
com
- i.gtld-servers.net
192.43.172.30
com
- h.gtld-servers.net
192.54.112.30
com
- g.gtld-servers.net
192.42.93.30
com
- f.gtld-servers.net
192.35.51.30
com
- e.gtld-servers.net
192.12.94.30
com
- d.gtld-servers.net
192.31.80.30
com
> biz.
Server: a.root-servers.net
Address: 198.41.0.4
Name: biz
Served by:
- a.gtld.biz
156.154.124.65
2001:503:7bbb:ffff:ffff:ffff:ffff:ff7e
biz
- b.gtld.biz
156.154.125.65
biz
- c.gtld.biz
156.154.127.65
biz
- e.gtld.biz
156.154.126.65
biz
- f.gtld.biz
209.173.58.66
2001:500:3682::12
biz
- k.gtld.biz
156.154.128.65
2001:503:e239::3:2
biz
> me.
Server: a.root-servers.net
Address: 198.41.0.4
Name: me
Served by:
- ns2.nic.me
89.188.44.88
me
- ns.nic.me
89.188.44.44
me
- b2.me.afilias-nst.org
199.249.127.1
2001:500:4f::1
me
- a2.me.afilias-nst.info
199.249.119.1
2001:500:47::1
me
- d0.cctld.afilias-nst.org
199.254.62.1
2001:500:28::1
me
- c0.cctld.afilias-nst.info
199.254.61.1
2001:500:27::1
me
- b0.cctld.afilias-nst.org
199.254.60.1
2001:500:26::1
me
- a0.cctld.afilias-nst.info
199.254.59.1
2001:500:25::1
me
>