No âmbito da atualização de sistemas que temos estado a realizar, foram ativadas diversas funcionalidades de segurança que diversos sistemas atuais podem tirar partido.
DNS sobre TLS
Esta funcionalidade pretende adicionar privacidade aos pedidos de DNS, ao transportar a comunicação entre os clientes e o servidor (DNS forwarder) sobre um canal cifrado (TLS), semelhante ao usado no HTTPS dos browsers. Esta opção impede quem esteja pelo meio de observar os pedidos de nomes que o utilizador efetua, evitando a inferência de a que recursos Internet está a tentar aceder. Note-se que a gestão do servidor DNS forwarder continua a poder observar os pedidos do utilizador se o pretender.
Esta funcionalidade encontra-se já ativa a título experimental nos servidores DNS forwarder do IPL.
Validação DNSSEC
Esta funcionalidade pretende impedir que terceiros falseiem respostas a pedidos realizados pelos DNS forwarder, encaminhando-os para servidores que impersonalizem servidores legítimos e potenciando ataques de phishing. Com esta validação ativa, para os domínios que possuírem o DNSSEC implementado é possível detetar e rejeitar a respostas falseadas.
Esta funcionalidade encontra-se já ativa a título experimental nos servidores DNS forwarder do IPL.
Ativação de DNSSEC no domínio IPL.PT e outros suportados pelos servidores DNS autoritários do IPL
Com esta funcionalidade os domínios passam a dispor assinaturas eletrónicas de validade e a ser possível deteção de tentativas de falsificação de respostas (ex. o endereço IP correspondente a www.ipl.pt). Como é uma opção que mal implementada ou com erros poderá tornar um domínio inacessível durante horas ou até dias, de momento temos ativa a funcionalidade apenas num domínio de testes, após o período experimental e de testes, será implementada no IPL.PT.
Simplificação dos endereços dos servidores autoritários de IPL.PT (e sub-domínios)
Os endereços atuais para esta função e que devem ser referenciados nos registos NS de qualquer domínio que esteja suportado nos servidores autoritários do IPL são:
- ns1.net.ipl.pt e ns2.net.ipl.pt
Todos os sistemas que realizem gestão de domínios de DNS suportados sobre este devem remover as referências para os antigos:
ns1pi.net.ipl.pt, ns1pa.net.ipl.pt, ns2pi.net.ipl.pt, ns2pa.net.ipl.pt.
No caso de domínios com delegados de níveis acima (ex. .PT ou .COM) devem também ser realizados os procedimentos de atualização destes dados junto do fornecedor.