CINXE.COM

<!DOCTYPE html> <html class="client-nojs vector-feature-language-in-header-enabled vector-feature-language-in-main-page-header-disabled vector-feature-sticky-header-disabled vector-feature-page-tools-pinned-disabled vector-feature-toc-pinned-clientpref-1 vector-feature-main-menu-pinned-disabled vector-feature-limited-width-clientpref-1 vector-feature-limited-width-content-enabled vector-feature-custom-font-size-clientpref-1 vector-feature-appearance-pinned-clientpref-1 vector-feature-night-mode-enabled skin-theme-clientpref-day vector-toc-available" lang="es" dir="ltr"> <head> <meta charset="UTF-8"> <title>Domain Name System Security Extensions - Wikipedia, la enciclopedia libre</title> <script>(function(){var className="client-js vector-feature-language-in-header-enabled vector-feature-language-in-main-page-header-disabled vector-feature-sticky-header-disabled vector-feature-page-tools-pinned-disabled vector-feature-toc-pinned-clientpref-1 vector-feature-main-menu-pinned-disabled vector-feature-limited-width-clientpref-1 vector-feature-limited-width-content-enabled vector-feature-custom-font-size-clientpref-1 vector-feature-appearance-pinned-clientpref-1 vector-feature-night-mode-enabled skin-theme-clientpref-day vector-toc-available";var cookie=document.cookie.match(/(?:^|; )eswikimwclientpreferences=([^;]+)/);if(cookie){cookie[1].split('%2C').forEach(function(pref){className=className.replace(new RegExp('(^| )'+pref.replace(/-clientpref-\w+$|[^\w-]+/g,'')+'-clientpref-\\w+( |$)'),'$1'+pref+'$2');});}document.documentElement.className=className;}());RLCONF={"wgBreakFrames":false,"wgSeparatorTransformTable":[",\t."," \t,"],"wgDigitTransformTable":["",""], "wgDefaultDateFormat":"dmy","wgMonthNames":["","enero","febrero","marzo","abril","mayo","junio","julio","agosto","septiembre","octubre","noviembre","diciembre"],"wgRequestId":"72156921-0901-4b15-9202-faaa4e34bb56","wgCanonicalNamespace":"","wgCanonicalSpecialPageName":false,"wgNamespaceNumber":0,"wgPageName":"Domain_Name_System_Security_Extensions","wgTitle":"Domain Name System Security Extensions","wgCurRevisionId":159744986,"wgRevisionId":159744986,"wgArticleId":5202728,"wgIsArticle":true,"wgIsRedirect":false,"wgAction":"view","wgUserName":null,"wgUserGroups":["*"],"wgCategories":["Wikipedia:Páginas con referencias con parámetros obsoletos","Wikipedia:Artículos con enlaces externos rotos","Wikipedia:Páginas con enlaces mágicos de RFC","Wikipedia:Artículos con pasajes que requieren referencias","Wikipedia:Wikificar","Wikipedia:Wikificar informática","Wikipedia:Artículos con identificadores GND","Domain Name System","Criptografía de clave pública","DNSSEC", "Gestión de claves"],"wgPageViewLanguage":"es","wgPageContentLanguage":"es","wgPageContentModel":"wikitext","wgRelevantPageName":"Domain_Name_System_Security_Extensions","wgRelevantArticleId":5202728,"wgIsProbablyEditable":true,"wgRelevantPageIsProbablyEditable":true,"wgRestrictionEdit":[],"wgRestrictionMove":[],"wgNoticeProject":"wikipedia","wgCiteReferencePreviewsActive":false,"wgMediaViewerOnClick":true,"wgMediaViewerEnabledByDefault":true,"wgPopupsFlags":0,"wgVisualEditor":{"pageLanguageCode":"es","pageLanguageDir":"ltr","pageVariantFallbacks":"es"},"wgMFDisplayWikibaseDescriptions":{"search":true,"watchlist":true,"tagline":true,"nearby":true},"wgWMESchemaEditAttemptStepOversample":false,"wgWMEPageLength":70000,"wgRelatedArticlesCompat":[],"wgCentralAuthMobileDomain":false,"wgEditSubmitButtonLabelPublish":true,"wgULSPosition":"interlanguage","wgULSisCompactLinksEnabled":false,"wgVector2022LanguageInHeader":true,"wgULSisLanguageSelectorEmpty":false,"wgWikibaseItemId":"Q41609", "wgCheckUserClientHintsHeadersJsApi":["brands","architecture","bitness","fullVersionList","mobile","model","platform","platformVersion"],"GEHomepageSuggestedEditsEnableTopics":true,"wgGETopicsMatchModeEnabled":true,"wgGEStructuredTaskRejectionReasonTextInputEnabled":false,"wgGELevelingUpEnabledForUser":false};RLSTATE={"ext.gadget.imagenesinfobox":"ready","ext.globalCssJs.user.styles":"ready","site.styles":"ready","user.styles":"ready","ext.globalCssJs.user":"ready","user":"ready","user.options":"loading","ext.cite.styles":"ready","skins.vector.search.codex.styles":"ready","skins.vector.styles":"ready","skins.vector.icons":"ready","ext.wikimediamessages.styles":"ready","ext.visualEditor.desktopArticleTarget.noscript":"ready","ext.uls.interlanguage":"ready","wikibase.client.init":"ready","ext.wikimediaBadges":"ready"};RLPAGEMODULES=["ext.cite.ux-enhancements","site","mediawiki.page.ready","mediawiki.toc","skins.vector.js","ext.centralNotice.geoIP","ext.centralNotice.startUp", "ext.gadget.a-commons-directo","ext.gadget.ReferenceTooltips","ext.gadget.refToolbar","ext.gadget.switcher","ext.urlShortener.toolbar","ext.centralauth.centralautologin","mmv.bootstrap","ext.popups","ext.visualEditor.desktopArticleTarget.init","ext.visualEditor.targetLoader","ext.echo.centralauth","ext.eventLogging","ext.wikimediaEvents","ext.navigationTiming","ext.uls.interface","ext.cx.eventlogging.campaigns","ext.cx.uls.quick.actions","wikibase.client.vector-2022","ext.checkUser.clientHints","ext.growthExperiments.SuggestedEditSession","wikibase.sidebar.tracking"];</script> <script>(RLQ=window.RLQ||[]).push(function(){mw.loader.impl(function(){return["user.options@12s5i",function($,jQuery,require,module){mw.user.tokens.set({"patrolToken":"+\\","watchToken":"+\\","csrfToken":"+\\"}); }];});});</script> <link rel="stylesheet" href="/w/load.php?lang=es&modules=ext.cite.styles%7Cext.uls.interlanguage%7Cext.visualEditor.desktopArticleTarget.noscript%7Cext.wikimediaBadges%7Cext.wikimediamessages.styles%7Cskins.vector.icons%2Cstyles%7Cskins.vector.search.codex.styles%7Cwikibase.client.init&only=styles&skin=vector-2022"> <script async="" src="/w/load.php?lang=es&modules=startup&only=scripts&raw=1&skin=vector-2022"></script> <meta name="ResourceLoaderDynamicStyles" content=""> <link rel="stylesheet" href="/w/load.php?lang=es&modules=ext.gadget.imagenesinfobox&only=styles&skin=vector-2022"> <link rel="stylesheet" href="/w/load.php?lang=es&modules=site.styles&only=styles&skin=vector-2022"> <noscript><link rel="stylesheet" href="/w/load.php?lang=es&modules=noscript&only=styles&skin=vector-2022"></noscript> <meta name="generator" content="MediaWiki 1.44.0-wmf.4"> <meta name="referrer" content="origin"> <meta name="referrer" content="origin-when-cross-origin"> <meta name="robots" content="max-image-preview:standard"> <meta name="format-detection" content="telephone=no"> <meta name="viewport" content="width=1120"> <meta property="og:title" content="Domain Name System Security Extensions - Wikipedia, la enciclopedia libre"> <meta property="og:type" content="website"> <link rel="preconnect" href="//upload.wikimedia.org"> <link rel="alternate" media="only screen and (max-width: 640px)" href="//es.m.wikipedia.org/wiki/Domain_Name_System_Security_Extensions"> <link rel="alternate" type="application/x-wiki" title="Editar" href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit"> <link rel="apple-touch-icon" href="/static/apple-touch/wikipedia.png"> <link rel="icon" href="/static/favicon/wikipedia.ico"> <link rel="search" type="application/opensearchdescription+xml" href="/w/rest.php/v1/search" title="Wikipedia (es)"> <link rel="EditURI" type="application/rsd+xml" href="//es.wikipedia.org/w/api.php?action=rsd"> <link rel="canonical" href="https://es.wikipedia.org/wiki/Domain_Name_System_Security_Extensions"> <link rel="license" href="https://creativecommons.org/licenses/by-sa/4.0/deed.es"> <link rel="alternate" type="application/atom+xml" title="Canal Atom de Wikipedia" href="/w/index.php?title=Especial:CambiosRecientes&feed=atom"> <link rel="dns-prefetch" href="//meta.wikimedia.org" /> <link rel="dns-prefetch" href="//login.wikimedia.org"> </head> <body class="skin--responsive skin-vector skin-vector-search-vue mediawiki ltr sitedir-ltr mw-hide-empty-elt ns-0 ns-subject mw-editable page-Domain_Name_System_Security_Extensions rootpage-Domain_Name_System_Security_Extensions skin-vector-2022 action-view"><a class="mw-jump-link" href="#bodyContent">Ir al contenido</a> <div class="vector-header-container"> <header class="vector-header mw-header"> <div class="vector-header-start"> <nav class="vector-main-menu-landmark" aria-label="Sitio"> <div id="vector-main-menu-dropdown" class="vector-dropdown vector-main-menu-dropdown vector-button-flush-left vector-button-flush-right" > <input type="checkbox" id="vector-main-menu-dropdown-checkbox" role="button" aria-haspopup="true" data-event-name="ui.dropdown-vector-main-menu-dropdown" class="vector-dropdown-checkbox " aria-label="Menú principal" > <label id="vector-main-menu-dropdown-label" for="vector-main-menu-dropdown-checkbox" class="vector-dropdown-label cdx-button cdx-button--fake-button cdx-button--fake-button--enabled cdx-button--weight-quiet cdx-button--icon-only " aria-hidden="true" ><span class="vector-icon mw-ui-icon-menu mw-ui-icon-wikimedia-menu"></span> <span class="vector-dropdown-label-text">Menú principal</span> </label> <div class="vector-dropdown-content"> <div id="vector-main-menu-unpinned-container" class="vector-unpinned-container"> <div id="vector-main-menu" class="vector-main-menu vector-pinnable-element"> <div class="vector-pinnable-header vector-main-menu-pinnable-header vector-pinnable-header-unpinned" data-feature-name="main-menu-pinned" data-pinnable-element-id="vector-main-menu" data-pinned-container-id="vector-main-menu-pinned-container" data-unpinned-container-id="vector-main-menu-unpinned-container" > <div class="vector-pinnable-header-label">Menú principal</div> <button class="vector-pinnable-header-toggle-button vector-pinnable-header-pin-button" data-event-name="pinnable-header.vector-main-menu.pin">mover a la barra lateral</button> <button class="vector-pinnable-header-toggle-button vector-pinnable-header-unpin-button" data-event-name="pinnable-header.vector-main-menu.unpin">ocultar</button> </div> <div id="p-navigation" class="vector-menu mw-portlet mw-portlet-navigation" > <div class="vector-menu-heading"> Navegación </div> <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li id="n-mainpage-description" class="mw-list-item"><a href="/wiki/Wikipedia:Portada" title="Visitar la página principal [z]" accesskey="z"><span>Portada</span></a></li><li id="n-portal" class="mw-list-item"><a href="/wiki/Portal:Comunidad" title="Acerca del proyecto, lo que puedes hacer, dónde encontrar información"><span>Portal de la comunidad</span></a></li><li id="n-currentevents" class="mw-list-item"><a href="/wiki/Portal:Actualidad" title="Encuentra información de contexto sobre acontecimientos actuales"><span>Actualidad</span></a></li><li id="n-recentchanges" class="mw-list-item"><a href="/wiki/Especial:CambiosRecientes" title="Lista de cambios recientes en la wiki [r]" accesskey="r"><span>Cambios recientes</span></a></li><li id="n-newpages" class="mw-list-item"><a href="/wiki/Especial:P%C3%A1ginasNuevas"><span>Páginas nuevas</span></a></li><li id="n-randompage" class="mw-list-item"><a href="/wiki/Especial:Aleatoria" title="Cargar una página al azar [x]" accesskey="x"><span>Página aleatoria</span></a></li><li id="n-help" class="mw-list-item"><a href="/wiki/Ayuda:Contenidos" title="El lugar para aprender"><span>Ayuda</span></a></li><li id="n-bug_in_article" class="mw-list-item"><a href="/wiki/Wikipedia:Informes_de_error"><span>Notificar un error</span></a></li> </ul> </div> </div> </div> </div> </div> </div> </nav> <a href="/wiki/Wikipedia:Portada" class="mw-logo"> <img class="mw-logo-icon" src="/static/images/icons/wikipedia.png" alt="" aria-hidden="true" height="50" width="50"> <span class="mw-logo-container skin-invert"> <img class="mw-logo-wordmark" alt="Wikipedia" src="/static/images/mobile/copyright/wikipedia-wordmark-en.svg" style="width: 7.5em; height: 1.125em;"> <img class="mw-logo-tagline" alt="La enciclopedia libre" src="/static/images/mobile/copyright/wikipedia-tagline-es.svg" width="120" height="13" style="width: 7.5em; height: 0.8125em;"> </span> </a> </div> <div class="vector-header-end"> <div id="p-search" role="search" class="vector-search-box-vue vector-search-box-collapses vector-search-box-show-thumbnail vector-search-box-auto-expand-width vector-search-box"> <a href="/wiki/Especial:Buscar" class="cdx-button cdx-button--fake-button cdx-button--fake-button--enabled cdx-button--weight-quiet cdx-button--icon-only search-toggle" title="Buscar en este wiki [f]" accesskey="f"><span class="vector-icon mw-ui-icon-search mw-ui-icon-wikimedia-search"></span> <span>Buscar</span> </a> <div class="vector-typeahead-search-container"> <div class="cdx-typeahead-search cdx-typeahead-search--show-thumbnail cdx-typeahead-search--auto-expand-width"> <form action="/w/index.php" id="searchform" class="cdx-search-input cdx-search-input--has-end-button"> <div id="simpleSearch" class="cdx-search-input__input-wrapper" data-search-loc="header-moved"> <div class="cdx-text-input cdx-text-input--has-start-icon"> <input class="cdx-text-input__input" type="search" name="search" placeholder="Buscar en Wikipedia" aria-label="Buscar en Wikipedia" autocapitalize="sentences" title="Buscar en este wiki [f]" accesskey="f" id="searchInput" > <span class="cdx-text-input__icon cdx-text-input__start-icon"></span> </div> <input type="hidden" name="title" value="Especial:Buscar"> </div> <button class="cdx-button cdx-search-input__end-button">Buscar</button> </form> </div> </div> </div> <nav class="vector-user-links vector-user-links-wide" aria-label="Herramientas personales"> <div class="vector-user-links-main"> <div id="p-vector-user-menu-preferences" class="vector-menu mw-portlet emptyPortlet" > <div class="vector-menu-content"> <ul class="vector-menu-content-list"> </ul> </div> </div> <div id="p-vector-user-menu-userpage" class="vector-menu mw-portlet emptyPortlet" > <div class="vector-menu-content"> <ul class="vector-menu-content-list"> </ul> </div> </div> <nav class="vector-appearance-landmark" aria-label="Apariencia"> <div id="vector-appearance-dropdown" class="vector-dropdown " title="Change the appearance of the page's font size, width, and color" > <input type="checkbox" id="vector-appearance-dropdown-checkbox" role="button" aria-haspopup="true" data-event-name="ui.dropdown-vector-appearance-dropdown" class="vector-dropdown-checkbox " aria-label="Apariencia" > <label id="vector-appearance-dropdown-label" for="vector-appearance-dropdown-checkbox" class="vector-dropdown-label cdx-button cdx-button--fake-button cdx-button--fake-button--enabled cdx-button--weight-quiet cdx-button--icon-only " aria-hidden="true" ><span class="vector-icon mw-ui-icon-appearance mw-ui-icon-wikimedia-appearance"></span> <span class="vector-dropdown-label-text">Apariencia</span> </label> <div class="vector-dropdown-content"> <div id="vector-appearance-unpinned-container" class="vector-unpinned-container"> </div> </div> </div> </nav> <div id="p-vector-user-menu-notifications" class="vector-menu mw-portlet emptyPortlet" > <div class="vector-menu-content"> <ul class="vector-menu-content-list"> </ul> </div> </div> <div id="p-vector-user-menu-overflow" class="vector-menu mw-portlet" > <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li id="pt-sitesupport-2" class="user-links-collapsible-item mw-list-item user-links-collapsible-item"><a data-mw="interface" href="//donate.wikimedia.org/wiki/Special:FundraiserRedirector?utm_source=donate&utm_medium=sidebar&utm_campaign=C13_es.wikipedia.org&uselang=es" class=""><span>Donaciones</span></a> </li> <li id="pt-createaccount-2" class="user-links-collapsible-item mw-list-item user-links-collapsible-item"><a data-mw="interface" href="/w/index.php?title=Especial:Crear_una_cuenta&returnto=Domain+Name+System+Security+Extensions" title="Te recomendamos crear una cuenta e iniciar sesión; sin embargo, no es obligatorio" class=""><span>Crear una cuenta</span></a> </li> <li id="pt-login-2" class="user-links-collapsible-item mw-list-item user-links-collapsible-item"><a data-mw="interface" href="/w/index.php?title=Especial:Entrar&returnto=Domain+Name+System+Security+Extensions" title="Te recomendamos iniciar sesión, aunque no es obligatorio [o]" accesskey="o" class=""><span>Acceder</span></a> </li> </ul> </div> </div> </div> <div id="vector-user-links-dropdown" class="vector-dropdown vector-user-menu vector-button-flush-right vector-user-menu-logged-out" title="Más opciones" > <input type="checkbox" id="vector-user-links-dropdown-checkbox" role="button" aria-haspopup="true" data-event-name="ui.dropdown-vector-user-links-dropdown" class="vector-dropdown-checkbox " aria-label="Herramientas personales" > <label id="vector-user-links-dropdown-label" for="vector-user-links-dropdown-checkbox" class="vector-dropdown-label cdx-button cdx-button--fake-button cdx-button--fake-button--enabled cdx-button--weight-quiet cdx-button--icon-only " aria-hidden="true" ><span class="vector-icon mw-ui-icon-ellipsis mw-ui-icon-wikimedia-ellipsis"></span> <span class="vector-dropdown-label-text">Herramientas personales</span> </label> <div class="vector-dropdown-content"> <div id="p-personal" class="vector-menu mw-portlet mw-portlet-personal user-links-collapsible-item" title="Menú de usuario" > <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li id="pt-sitesupport" class="user-links-collapsible-item mw-list-item"><a href="//donate.wikimedia.org/wiki/Special:FundraiserRedirector?utm_source=donate&utm_medium=sidebar&utm_campaign=C13_es.wikipedia.org&uselang=es"><span>Donaciones</span></a></li><li id="pt-createaccount" class="user-links-collapsible-item mw-list-item"><a href="/w/index.php?title=Especial:Crear_una_cuenta&returnto=Domain+Name+System+Security+Extensions" title="Te recomendamos crear una cuenta e iniciar sesión; sin embargo, no es obligatorio"><span class="vector-icon mw-ui-icon-userAdd mw-ui-icon-wikimedia-userAdd"></span> <span>Crear una cuenta</span></a></li><li id="pt-login" class="user-links-collapsible-item mw-list-item"><a href="/w/index.php?title=Especial:Entrar&returnto=Domain+Name+System+Security+Extensions" title="Te recomendamos iniciar sesión, aunque no es obligatorio [o]" accesskey="o"><span class="vector-icon mw-ui-icon-logIn mw-ui-icon-wikimedia-logIn"></span> <span>Acceder</span></a></li> </ul> </div> </div> <div id="p-user-menu-anon-editor" class="vector-menu mw-portlet mw-portlet-user-menu-anon-editor" > <div class="vector-menu-heading"> Páginas para editores desconectados <a href="/wiki/Ayuda:Introducci%C3%B3n" aria-label="Obtenga más información sobre editar"><span>más información</span></a> </div> <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li id="pt-anoncontribs" class="mw-list-item"><a href="/wiki/Especial:MisContribuciones" title="Una lista de modificaciones hechas desde esta dirección IP [y]" accesskey="y"><span>Contribuciones</span></a></li><li id="pt-anontalk" class="mw-list-item"><a href="/wiki/Especial:MiDiscusi%C3%B3n" title="Discusión sobre ediciones hechas desde esta dirección IP [n]" accesskey="n"><span>Discusión</span></a></li> </ul> </div> </div> </div> </div> </nav> </div> </header> </div> <div class="mw-page-container"> <div class="mw-page-container-inner"> <div class="vector-sitenotice-container"> <div id="siteNotice"></div> </div> <div class="vector-column-start"> <div class="vector-main-menu-container"> <div id="mw-navigation"> <nav id="mw-panel" class="vector-main-menu-landmark" aria-label="Sitio"> <div id="vector-main-menu-pinned-container" class="vector-pinned-container"> </div> </nav> </div> </div> <div class="vector-sticky-pinned-container"> <nav id="mw-panel-toc" aria-label="Contenidos" data-event-name="ui.sidebar-toc" class="mw-table-of-contents-container vector-toc-landmark"> <div id="vector-toc-pinned-container" class="vector-pinned-container"> <div id="vector-toc" class="vector-toc vector-pinnable-element"> <div class="vector-pinnable-header vector-toc-pinnable-header vector-pinnable-header-pinned" data-feature-name="toc-pinned" data-pinnable-element-id="vector-toc" > <h2 class="vector-pinnable-header-label">Contenidos</h2> <button class="vector-pinnable-header-toggle-button vector-pinnable-header-pin-button" data-event-name="pinnable-header.vector-toc.pin">mover a la barra lateral</button> <button class="vector-pinnable-header-toggle-button vector-pinnable-header-unpin-button" data-event-name="pinnable-header.vector-toc.unpin">ocultar</button> </div> <ul class="vector-toc-contents" id="mw-panel-toc-list"> <li id="toc-mw-content-text" class="vector-toc-list-item vector-toc-level-1"> <a href="#" class="vector-toc-link"> <div class="vector-toc-text">Inicio</div> </a> </li> <li id="toc-Descripción_general" class="vector-toc-list-item vector-toc-level-1"> <a class="vector-toc-link" href="#Descripción_general"> <div class="vector-toc-text"> <span class="vector-toc-numb">1</span> <span>Descripción general</span> </div> </a> <ul id="toc-Descripción_general-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Funcionamiento" class="vector-toc-list-item vector-toc-level-1"> <a class="vector-toc-link" href="#Funcionamiento"> <div class="vector-toc-text"> <span class="vector-toc-numb">2</span> <span>Funcionamiento</span> </div> </a> <button aria-controls="toc-Funcionamiento-sublist" class="cdx-button cdx-button--weight-quiet cdx-button--icon-only vector-toc-toggle"> <span class="vector-icon mw-ui-icon-wikimedia-expand"></span> <span>Alternar subsección Funcionamiento</span> </button> <ul id="toc-Funcionamiento-sublist" class="vector-toc-list"> <li id="toc-Registros" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Registros"> <div class="vector-toc-text"> <span class="vector-toc-numb">2.1</span> <span>Registros</span> </div> </a> <ul id="toc-Registros-sublist" class="vector-toc-list"> <li id="toc-Algoritmos" class="vector-toc-list-item vector-toc-level-3"> <a class="vector-toc-link" href="#Algoritmos"> <div class="vector-toc-text"> <span class="vector-toc-numb">2.1.1</span> <span>Algoritmos</span> </div> </a> <ul id="toc-Algoritmos-sublist" class="vector-toc-list"> </ul> </li> </ul> </li> <li id="toc-El_procedimiento_de_búsqueda" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#El_procedimiento_de_búsqueda"> <div class="vector-toc-text"> <span class="vector-toc-numb">2.2</span> <span>El procedimiento de búsqueda</span> </div> </a> <ul id="toc-El_procedimiento_de_búsqueda-sublist" class="vector-toc-list"> <li id="toc-Servidores_de_nombres_recursivos" class="vector-toc-list-item vector-toc-level-3"> <a class="vector-toc-link" href="#Servidores_de_nombres_recursivos"> <div class="vector-toc-text"> <span class="vector-toc-numb">2.2.1</span> <span>Servidores de nombres recursivos</span> </div> </a> <ul id="toc-Servidores_de_nombres_recursivos-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Stub_resolvers" class="vector-toc-list-item vector-toc-level-3"> <a class="vector-toc-link" href="#Stub_resolvers"> <div class="vector-toc-text"> <span class="vector-toc-numb">2.2.2</span> <span>Stub resolvers</span> </div> </a> <ul id="toc-Stub_resolvers-sublist" class="vector-toc-list"> </ul> </li> </ul> </li> <li id="toc-Anclas_de_confianza_y_cadenas_de_autenticación" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Anclas_de_confianza_y_cadenas_de_autenticación"> <div class="vector-toc-text"> <span class="vector-toc-numb">2.3</span> <span>Anclas de confianza y cadenas de autenticación</span> </div> </a> <ul id="toc-Anclas_de_confianza_y_cadenas_de_autenticación-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Firmas_y_firmas_de_zona" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Firmas_y_firmas_de_zona"> <div class="vector-toc-text"> <span class="vector-toc-numb">2.4</span> <span>Firmas y firmas de zona</span> </div> </a> <ul id="toc-Firmas_y_firmas_de_zona-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-La_gestión_de_claves" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#La_gestión_de_claves"> <div class="vector-toc-text"> <span class="vector-toc-numb">2.5</span> <span>La gestión de claves</span> </div> </a> <ul id="toc-La_gestión_de_claves-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Grupo_de_Trabajo_DANE" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Grupo_de_Trabajo_DANE"> <div class="vector-toc-text"> <span class="vector-toc-numb">2.6</span> <span>Grupo de Trabajo DANE</span> </div> </a> <ul id="toc-Grupo_de_Trabajo_DANE-sublist" class="vector-toc-list"> </ul> </li> </ul> </li> <li id="toc-Historia" class="vector-toc-list-item vector-toc-level-1"> <a class="vector-toc-link" href="#Historia"> <div class="vector-toc-text"> <span class="vector-toc-numb">3</span> <span>Historia</span> </div> </a> <button aria-controls="toc-Historia-sublist" class="cdx-button cdx-button--weight-quiet cdx-button--icon-only vector-toc-toggle"> <span class="vector-icon mw-ui-icon-wikimedia-expand"></span> <span>Alternar subsección Historia</span> </button> <ul id="toc-Historia-sublist" class="vector-toc-list"> <li id="toc-Normas" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Normas"> <div class="vector-toc-text"> <span class="vector-toc-numb">3.1</span> <span>Normas</span> </div> </a> <ul id="toc-Normas-sublist" class="vector-toc-list"> </ul> </li> </ul> </li> <li id="toc-Tema_de_enumeración_de_zona,_la_controversia_y_NSEC3" class="vector-toc-list-item vector-toc-level-1"> <a class="vector-toc-link" href="#Tema_de_enumeración_de_zona,_la_controversia_y_NSEC3"> <div class="vector-toc-text"> <span class="vector-toc-numb">4</span> <span>Tema de enumeración de zona, la controversia y NSEC3</span> </div> </a> <button aria-controls="toc-Tema_de_enumeración_de_zona,_la_controversia_y_NSEC3-sublist" class="cdx-button cdx-button--weight-quiet cdx-button--icon-only vector-toc-toggle"> <span class="vector-icon mw-ui-icon-wikimedia-expand"></span> <span>Alternar subsección Tema de enumeración de zona, la controversia y NSEC3</span> </button> <ul id="toc-Tema_de_enumeración_de_zona,_la_controversia_y_NSEC3-sublist" class="vector-toc-list"> <li id="toc-Porqué_los_datos_de_zona_DNS_normalmente_se_mantienen_privados" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Porqué_los_datos_de_zona_DNS_normalmente_se_mantienen_privados"> <div class="vector-toc-text"> <span class="vector-toc-numb">4.1</span> <span>Porqué los datos de zona DNS normalmente se mantienen privados</span> </div> </a> <ul id="toc-Porqué_los_datos_de_zona_DNS_normalmente_se_mantienen_privados-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-DNSSEC_revela_datos_de_zona" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#DNSSEC_revela_datos_de_zona"> <div class="vector-toc-text"> <span class="vector-toc-numb">4.2</span> <span>DNSSEC revela datos de zona</span> </div> </a> <ul id="toc-DNSSEC_revela_datos_de_zona-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Reacciones_iniciales" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Reacciones_iniciales"> <div class="vector-toc-text"> <span class="vector-toc-numb">4.3</span> <span>Reacciones iniciales</span> </div> </a> <ul id="toc-Reacciones_iniciales-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Firmado_en_línea" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Firmado_en_línea"> <div class="vector-toc-text"> <span class="vector-toc-numb">4.4</span> <span>Firmado en línea</span> </div> </a> <ul id="toc-Firmado_en_línea-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-NSEC3" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#NSEC3"> <div class="vector-toc-text"> <span class="vector-toc-numb">4.5</span> <span>NSEC3</span> </div> </a> <ul id="toc-NSEC3-sublist" class="vector-toc-list"> </ul> </li> </ul> </li> <li id="toc-Despliegue" class="vector-toc-list-item vector-toc-level-1"> <a class="vector-toc-link" href="#Despliegue"> <div class="vector-toc-text"> <span class="vector-toc-numb">5</span> <span>Despliegue</span> </div> </a> <button aria-controls="toc-Despliegue-sublist" class="cdx-button cdx-button--weight-quiet cdx-button--icon-only vector-toc-toggle"> <span class="vector-icon mw-ui-icon-wikimedia-expand"></span> <span>Alternar subsección Despliegue</span> </button> <ul id="toc-Despliegue-sublist" class="vector-toc-list"> <li id="toc-Despliegue_inicial" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Despliegue_inicial"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.1</span> <span>Despliegue inicial</span> </div> </a> <ul id="toc-Despliegue_inicial-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Despliegue_en_la_raíz_DNS" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Despliegue_en_la_raíz_DNS"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.2</span> <span>Despliegue en la raíz DNS</span> </div> </a> <ul id="toc-Despliegue_en_la_raíz_DNS-sublist" class="vector-toc-list"> <li id="toc-Planificación" class="vector-toc-list-item vector-toc-level-3"> <a class="vector-toc-link" href="#Planificación"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.2.1</span> <span>Planificación</span> </div> </a> <ul id="toc-Planificación-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Implementación" class="vector-toc-list-item vector-toc-level-3"> <a class="vector-toc-link" href="#Implementación"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.2.2</span> <span>Implementación</span> </div> </a> <ul id="toc-Implementación-sublist" class="vector-toc-list"> </ul> </li> </ul> </li> <li id="toc-Despliegue_a_nivel_de_TLD" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Despliegue_a_nivel_de_TLD"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.3</span> <span>Despliegue a nivel de TLD</span> </div> </a> <ul id="toc-Despliegue_a_nivel_de_TLD-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Validación_DNSSEC_Lookaside" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Validación_DNSSEC_Lookaside"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.4</span> <span>Validación DNSSEC Lookaside</span> </div> </a> <ul id="toc-Validación_DNSSEC_Lookaside-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Iniciativa_de_despliegue_de_DNSSEC_del_gobierno_de_EE.UU" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Iniciativa_de_despliegue_de_DNSSEC_del_gobierno_de_EE.UU"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.5</span> <span>Iniciativa de despliegue de DNSSEC del gobierno de EE.UU</span> </div> </a> <ul id="toc-Iniciativa_de_despliegue_de_DNSSEC_del_gobierno_de_EE.UU-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Despliegue_de_DNSSEC_en_el_gobierno_de_EE.UU" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Despliegue_de_DNSSEC_en_el_gobierno_de_EE.UU"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.6</span> <span>Despliegue de DNSSEC en el gobierno de EE.UU</span> </div> </a> <ul id="toc-Despliegue_de_DNSSEC_en_el_gobierno_de_EE.UU-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Despliegue_en_resolvers" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Despliegue_en_resolvers"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.7</span> <span>Despliegue en resolvers</span> </div> </a> <ul id="toc-Despliegue_en_resolvers-sublist" class="vector-toc-list"> <li id="toc-DNS_Público_de_Google" class="vector-toc-list-item vector-toc-level-3"> <a class="vector-toc-link" href="#DNS_Público_de_Google"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.7.1</span> <span>DNS Público de Google</span> </div> </a> <ul id="toc-DNS_Público_de_Google-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Problemas" class="vector-toc-list-item vector-toc-level-3"> <a class="vector-toc-link" href="#Problemas"> <div class="vector-toc-text"> <span class="vector-toc-numb">5.7.2</span> <span>Problemas</span> </div> </a> <ul id="toc-Problemas-sublist" class="vector-toc-list"> </ul> </li> </ul> </li> </ul> </li> <li id="toc-Herramientas" class="vector-toc-list-item vector-toc-level-1"> <a class="vector-toc-link" href="#Herramientas"> <div class="vector-toc-text"> <span class="vector-toc-numb">6</span> <span>Herramientas</span> </div> </a> <ul id="toc-Herramientas-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Véase_también" class="vector-toc-list-item vector-toc-level-1"> <a class="vector-toc-link" href="#Véase_también"> <div class="vector-toc-text"> <span class="vector-toc-numb">7</span> <span>Véase también</span> </div> </a> <ul id="toc-Véase_también-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Referencias" class="vector-toc-list-item vector-toc-level-1"> <a class="vector-toc-link" href="#Referencias"> <div class="vector-toc-text"> <span class="vector-toc-numb">8</span> <span>Referencias</span> </div> </a> <ul id="toc-Referencias-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Enlaces_externos" class="vector-toc-list-item vector-toc-level-1"> <a class="vector-toc-link" href="#Enlaces_externos"> <div class="vector-toc-text"> <span class="vector-toc-numb">9</span> <span>Enlaces externos</span> </div> </a> <button aria-controls="toc-Enlaces_externos-sublist" class="cdx-button cdx-button--weight-quiet cdx-button--icon-only vector-toc-toggle"> <span class="vector-icon mw-ui-icon-wikimedia-expand"></span> <span>Alternar subsección Enlaces externos</span> </button> <ul id="toc-Enlaces_externos-sublist" class="vector-toc-list"> <li id="toc-Organizaciones_/_sitios_web" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Organizaciones_/_sitios_web"> <div class="vector-toc-text"> <span class="vector-toc-numb">9.1</span> <span>Organizaciones / sitios web</span> </div> </a> <ul id="toc-Organizaciones_/_sitios_web-sublist" class="vector-toc-list"> </ul> </li> <li id="toc-Otros_documentos" class="vector-toc-list-item vector-toc-level-2"> <a class="vector-toc-link" href="#Otros_documentos"> <div class="vector-toc-text"> <span class="vector-toc-numb">9.2</span> <span>Otros documentos</span> </div> </a> <ul id="toc-Otros_documentos-sublist" class="vector-toc-list"> </ul> </li> </ul> </li> </ul> </div> </div> </nav> </div> </div> <div class="mw-content-container"> <main id="content" class="mw-body"> <header class="mw-body-header vector-page-titlebar"> <nav aria-label="Contenidos" class="vector-toc-landmark"> <div id="vector-page-titlebar-toc" class="vector-dropdown vector-page-titlebar-toc vector-button-flush-left" > <input type="checkbox" id="vector-page-titlebar-toc-checkbox" role="button" aria-haspopup="true" data-event-name="ui.dropdown-vector-page-titlebar-toc" class="vector-dropdown-checkbox " aria-label="Cambiar a la tabla de contenidos" > <label id="vector-page-titlebar-toc-label" for="vector-page-titlebar-toc-checkbox" class="vector-dropdown-label cdx-button cdx-button--fake-button cdx-button--fake-button--enabled cdx-button--weight-quiet cdx-button--icon-only " aria-hidden="true" ><span class="vector-icon mw-ui-icon-listBullet mw-ui-icon-wikimedia-listBullet"></span> <span class="vector-dropdown-label-text">Cambiar a la tabla de contenidos</span> </label> <div class="vector-dropdown-content"> <div id="vector-page-titlebar-toc-unpinned-container" class="vector-unpinned-container"> </div> </div> </div> </nav> <h1 id="firstHeading" class="firstHeading mw-first-heading"><span class="mw-page-title-main">Domain Name System Security Extensions</span></h1> <div id="p-lang-btn" class="vector-dropdown mw-portlet mw-portlet-lang" > <input type="checkbox" id="p-lang-btn-checkbox" role="button" aria-haspopup="true" data-event-name="ui.dropdown-p-lang-btn" class="vector-dropdown-checkbox mw-interlanguage-selector" aria-label="Ir a un artículo en otro idioma. Disponible en 27 idiomas" > <label id="p-lang-btn-label" for="p-lang-btn-checkbox" class="vector-dropdown-label cdx-button cdx-button--fake-button cdx-button--fake-button--enabled cdx-button--weight-quiet cdx-button--action-progressive mw-portlet-lang-heading-27" aria-hidden="true" ><span class="vector-icon mw-ui-icon-language-progressive mw-ui-icon-wikimedia-language-progressive"></span> <span class="vector-dropdown-label-text">27 idiomas</span> </label> <div class="vector-dropdown-content"> <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li class="interlanguage-link interwiki-ca mw-list-item"><a href="https://ca.wikipedia.org/wiki/Domain_Name_System_Security_Extensions" title="Domain Name System Security Extensions (catalán)" lang="ca" hreflang="ca" data-title="Domain Name System Security Extensions" data-language-autonym="Català" data-language-local-name="catalán" class="interlanguage-link-target"><span>Català</span></a></li><li class="interlanguage-link interwiki-cs mw-list-item"><a href="https://cs.wikipedia.org/wiki/Domain_Name_System_Security_Extensions" title="Domain Name System Security Extensions (checo)" lang="cs" hreflang="cs" data-title="Domain Name System Security Extensions" data-language-autonym="Čeština" data-language-local-name="checo" class="interlanguage-link-target"><span>Čeština</span></a></li><li class="interlanguage-link interwiki-de mw-list-item"><a href="https://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions" title="Domain Name System Security Extensions (alemán)" lang="de" hreflang="de" data-title="Domain Name System Security Extensions" data-language-autonym="Deutsch" data-language-local-name="alemán" class="interlanguage-link-target"><span>Deutsch</span></a></li><li class="interlanguage-link interwiki-el mw-list-item"><a href="https://el.wikipedia.org/wiki/DNSSEC" title="DNSSEC (griego)" lang="el" hreflang="el" data-title="DNSSEC" data-language-autonym="Ελληνικά" data-language-local-name="griego" class="interlanguage-link-target"><span>Ελληνικά</span></a></li><li class="interlanguage-link interwiki-en mw-list-item"><a href="https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions" title="Domain Name System Security Extensions (inglés)" lang="en" hreflang="en" data-title="Domain Name System Security Extensions" data-language-autonym="English" data-language-local-name="inglés" class="interlanguage-link-target"><span>English</span></a></li><li class="interlanguage-link interwiki-eo mw-list-item"><a href="https://eo.wikipedia.org/wiki/DNSSEC" title="DNSSEC (esperanto)" lang="eo" hreflang="eo" data-title="DNSSEC" data-language-autonym="Esperanto" data-language-local-name="esperanto" class="interlanguage-link-target"><span>Esperanto</span></a></li><li class="interlanguage-link interwiki-eu mw-list-item"><a href="https://eu.wikipedia.org/wiki/DnsSec" title="DnsSec (euskera)" lang="eu" hreflang="eu" data-title="DnsSec" data-language-autonym="Euskara" data-language-local-name="euskera" class="interlanguage-link-target"><span>Euskara</span></a></li><li class="interlanguage-link interwiki-fa mw-list-item"><a href="https://fa.wikipedia.org/wiki/%D8%B6%D9%85%DB%8C%D9%85%D9%87%E2%80%8C%D9%87%D8%A7%DB%8C_%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C_%D8%B3%D8%A7%D9%85%D8%A7%D9%86%D9%87_%D9%86%D8%A7%D9%85_%D8%AF%D8%A7%D9%85%D9%86%D9%87" title="ضمیمه‌های امنیتی سامانه نام دامنه (persa)" lang="fa" hreflang="fa" data-title="ضمیمه‌های امنیتی سامانه نام دامنه" data-language-autonym="فارسی" data-language-local-name="persa" class="interlanguage-link-target"><span>فارسی</span></a></li><li class="interlanguage-link interwiki-fi mw-list-item"><a href="https://fi.wikipedia.org/wiki/DNSSEC" title="DNSSEC (finés)" lang="fi" hreflang="fi" data-title="DNSSEC" data-language-autonym="Suomi" data-language-local-name="finés" class="interlanguage-link-target"><span>Suomi</span></a></li><li class="interlanguage-link interwiki-fr mw-list-item"><a href="https://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions" title="Domain Name System Security Extensions (francés)" lang="fr" hreflang="fr" data-title="Domain Name System Security Extensions" data-language-autonym="Français" data-language-local-name="francés" class="interlanguage-link-target"><span>Français</span></a></li><li class="interlanguage-link interwiki-hu mw-list-item"><a href="https://hu.wikipedia.org/wiki/Domain_Name_System_Security_Extensions" title="Domain Name System Security Extensions (húngaro)" lang="hu" hreflang="hu" data-title="Domain Name System Security Extensions" data-language-autonym="Magyar" data-language-local-name="húngaro" class="interlanguage-link-target"><span>Magyar</span></a></li><li class="interlanguage-link interwiki-hy mw-list-item"><a href="https://hy.wikipedia.org/wiki/DNSSEC" title="DNSSEC (armenio)" lang="hy" hreflang="hy" data-title="DNSSEC" data-language-autonym="Հայերեն" data-language-local-name="armenio" class="interlanguage-link-target"><span>Հայերեն</span></a></li><li class="interlanguage-link interwiki-id mw-list-item"><a href="https://id.wikipedia.org/wiki/Sambungan_Keselamatan_Sistem_Nama_Domain" title="Sambungan Keselamatan Sistem Nama Domain (indonesio)" lang="id" hreflang="id" data-title="Sambungan Keselamatan Sistem Nama Domain" data-language-autonym="Bahasa Indonesia" data-language-local-name="indonesio" class="interlanguage-link-target"><span>Bahasa Indonesia</span></a></li><li class="interlanguage-link interwiki-it mw-list-item"><a href="https://it.wikipedia.org/wiki/DNSSEC" title="DNSSEC (italiano)" lang="it" hreflang="it" data-title="DNSSEC" data-language-autonym="Italiano" data-language-local-name="italiano" class="interlanguage-link-target"><span>Italiano</span></a></li><li class="interlanguage-link interwiki-ja mw-list-item"><a href="https://ja.wikipedia.org/wiki/DNS_Security_Extensions" title="DNS Security Extensions (japonés)" lang="ja" hreflang="ja" data-title="DNS Security Extensions" data-language-autonym="日本語" data-language-local-name="japonés" class="interlanguage-link-target"><span>日本語</span></a></li><li class="interlanguage-link interwiki-ko mw-list-item"><a href="https://ko.wikipedia.org/wiki/DNSSEC" title="DNSSEC (coreano)" lang="ko" hreflang="ko" data-title="DNSSEC" data-language-autonym="한국어" data-language-local-name="coreano" class="interlanguage-link-target"><span>한국어</span></a></li><li class="interlanguage-link interwiki-ky mw-list-item"><a href="https://ky.wikipedia.org/wiki/DNSSEC" title="DNSSEC (kirguís)" lang="ky" hreflang="ky" data-title="DNSSEC" data-language-autonym="Кыргызча" data-language-local-name="kirguís" class="interlanguage-link-target"><span>Кыргызча</span></a></li><li class="interlanguage-link interwiki-ms mw-list-item"><a href="https://ms.wikipedia.org/wiki/Sambungan_Keselamatan_Sistem_Nama_Domain" title="Sambungan Keselamatan Sistem Nama Domain (malayo)" lang="ms" hreflang="ms" data-title="Sambungan Keselamatan Sistem Nama Domain" data-language-autonym="Bahasa Melayu" data-language-local-name="malayo" class="interlanguage-link-target"><span>Bahasa Melayu</span></a></li><li class="interlanguage-link interwiki-nl mw-list-item"><a href="https://nl.wikipedia.org/wiki/DNSSEC" title="DNSSEC (neerlandés)" lang="nl" hreflang="nl" data-title="DNSSEC" data-language-autonym="Nederlands" data-language-local-name="neerlandés" class="interlanguage-link-target"><span>Nederlands</span></a></li><li class="interlanguage-link interwiki-pl mw-list-item"><a href="https://pl.wikipedia.org/wiki/DNSSEC" title="DNSSEC (polaco)" lang="pl" hreflang="pl" data-title="DNSSEC" data-language-autonym="Polski" data-language-local-name="polaco" class="interlanguage-link-target"><span>Polski</span></a></li><li class="interlanguage-link interwiki-pt mw-list-item"><a href="https://pt.wikipedia.org/wiki/DNSSEC" title="DNSSEC (portugués)" lang="pt" hreflang="pt" data-title="DNSSEC" data-language-autonym="Português" data-language-local-name="portugués" class="interlanguage-link-target"><span>Português</span></a></li><li class="interlanguage-link interwiki-ru mw-list-item"><a href="https://ru.wikipedia.org/wiki/DNSSEC" title="DNSSEC (ruso)" lang="ru" hreflang="ru" data-title="DNSSEC" data-language-autonym="Русский" data-language-local-name="ruso" class="interlanguage-link-target"><span>Русский</span></a></li><li class="interlanguage-link interwiki-simple mw-list-item"><a href="https://simple.wikipedia.org/wiki/Domain_Name_System_Security_Extensions" title="Domain Name System Security Extensions (Simple English)" lang="en-simple" hreflang="en-simple" data-title="Domain Name System Security Extensions" data-language-autonym="Simple English" data-language-local-name="Simple English" class="interlanguage-link-target"><span>Simple English</span></a></li><li class="interlanguage-link interwiki-tr mw-list-item"><a href="https://tr.wikipedia.org/wiki/DNSSEC" title="DNSSEC (turco)" lang="tr" hreflang="tr" data-title="DNSSEC" data-language-autonym="Türkçe" data-language-local-name="turco" class="interlanguage-link-target"><span>Türkçe</span></a></li><li class="interlanguage-link interwiki-uk mw-list-item"><a href="https://uk.wikipedia.org/wiki/DNSSEC" title="DNSSEC (ucraniano)" lang="uk" hreflang="uk" data-title="DNSSEC" data-language-autonym="Українська" data-language-local-name="ucraniano" class="interlanguage-link-target"><span>Українська</span></a></li><li class="interlanguage-link interwiki-uz mw-list-item"><a href="https://uz.wikipedia.org/wiki/DNSSEC" title="DNSSEC (uzbeko)" lang="uz" hreflang="uz" data-title="DNSSEC" data-language-autonym="Oʻzbekcha / ўзбекча" data-language-local-name="uzbeko" class="interlanguage-link-target"><span>Oʻzbekcha / ўзбекча</span></a></li><li class="interlanguage-link interwiki-zh mw-list-item"><a href="https://zh.wikipedia.org/wiki/%E5%9F%9F%E5%90%8D%E7%B3%BB%E7%BB%9F%E5%AE%89%E5%85%A8%E6%89%A9%E5%B1%95" title="域名系统安全扩展 (chino)" lang="zh" hreflang="zh" data-title="域名系统安全扩展" data-language-autonym="中文" data-language-local-name="chino" class="interlanguage-link-target"><span>中文</span></a></li> </ul> <div class="after-portlet after-portlet-lang"><span class="wb-langlinks-edit wb-langlinks-link"><a href="https://www.wikidata.org/wiki/Special:EntityPage/Q41609#sitelinks-wikipedia" title="Editar enlaces interlingüísticos" class="wbc-editpage">Editar enlaces</a></span></div> </div> </div> </div> </header> <div class="vector-page-toolbar"> <div class="vector-page-toolbar-container"> <div id="left-navigation"> <nav aria-label="Espacios de nombres"> <div id="p-associated-pages" class="vector-menu vector-menu-tabs mw-portlet mw-portlet-associated-pages" > <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li id="ca-nstab-main" class="selected vector-tab-noicon mw-list-item"><a href="/wiki/Domain_Name_System_Security_Extensions" title="Ver la página de contenido [c]" accesskey="c"><span>Artículo</span></a></li><li id="ca-talk" class="vector-tab-noicon mw-list-item"><a href="/wiki/Discusi%C3%B3n:Domain_Name_System_Security_Extensions" rel="discussion" title="Discusión acerca de la página [t]" accesskey="t"><span>Discusión</span></a></li> </ul> </div> </div> <div id="vector-variants-dropdown" class="vector-dropdown emptyPortlet" > <input type="checkbox" id="vector-variants-dropdown-checkbox" role="button" aria-haspopup="true" data-event-name="ui.dropdown-vector-variants-dropdown" class="vector-dropdown-checkbox " aria-label="Cambiar variante de idioma" > <label id="vector-variants-dropdown-label" for="vector-variants-dropdown-checkbox" class="vector-dropdown-label cdx-button cdx-button--fake-button cdx-button--fake-button--enabled cdx-button--weight-quiet" aria-hidden="true" ><span class="vector-dropdown-label-text">español</span> </label> <div class="vector-dropdown-content"> <div id="p-variants" class="vector-menu mw-portlet mw-portlet-variants emptyPortlet" > <div class="vector-menu-content"> <ul class="vector-menu-content-list"> </ul> </div> </div> </div> </div> </nav> </div> <div id="right-navigation" class="vector-collapsible"> <nav aria-label="Vistas"> <div id="p-views" class="vector-menu vector-menu-tabs mw-portlet mw-portlet-views" > <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li id="ca-view" class="selected vector-tab-noicon mw-list-item"><a href="/wiki/Domain_Name_System_Security_Extensions"><span>Leer</span></a></li><li id="ca-edit" class="vector-tab-noicon mw-list-item"><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit" title="Editar esta página [e]" accesskey="e"><span>Editar</span></a></li><li id="ca-history" class="vector-tab-noicon mw-list-item"><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=history" title="Versiones anteriores de esta página [h]" accesskey="h"><span>Ver historial</span></a></li> </ul> </div> </div> </nav> <nav class="vector-page-tools-landmark" aria-label="Página de herramientas"> <div id="vector-page-tools-dropdown" class="vector-dropdown vector-page-tools-dropdown" > <input type="checkbox" id="vector-page-tools-dropdown-checkbox" role="button" aria-haspopup="true" data-event-name="ui.dropdown-vector-page-tools-dropdown" class="vector-dropdown-checkbox " aria-label="Herramientas" > <label id="vector-page-tools-dropdown-label" for="vector-page-tools-dropdown-checkbox" class="vector-dropdown-label cdx-button cdx-button--fake-button cdx-button--fake-button--enabled cdx-button--weight-quiet" aria-hidden="true" ><span class="vector-dropdown-label-text">Herramientas</span> </label> <div class="vector-dropdown-content"> <div id="vector-page-tools-unpinned-container" class="vector-unpinned-container"> <div id="vector-page-tools" class="vector-page-tools vector-pinnable-element"> <div class="vector-pinnable-header vector-page-tools-pinnable-header vector-pinnable-header-unpinned" data-feature-name="page-tools-pinned" data-pinnable-element-id="vector-page-tools" data-pinned-container-id="vector-page-tools-pinned-container" data-unpinned-container-id="vector-page-tools-unpinned-container" > <div class="vector-pinnable-header-label">Herramientas</div> <button class="vector-pinnable-header-toggle-button vector-pinnable-header-pin-button" data-event-name="pinnable-header.vector-page-tools.pin">mover a la barra lateral</button> <button class="vector-pinnable-header-toggle-button vector-pinnable-header-unpin-button" data-event-name="pinnable-header.vector-page-tools.unpin">ocultar</button> </div> <div id="p-cactions" class="vector-menu mw-portlet mw-portlet-cactions emptyPortlet vector-has-collapsible-items" title="Más opciones" > <div class="vector-menu-heading"> Acciones </div> <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li id="ca-more-view" class="selected vector-more-collapsible-item mw-list-item"><a href="/wiki/Domain_Name_System_Security_Extensions"><span>Leer</span></a></li><li id="ca-more-edit" class="vector-more-collapsible-item mw-list-item"><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit" title="Editar esta página [e]" accesskey="e"><span>Editar</span></a></li><li id="ca-more-history" class="vector-more-collapsible-item mw-list-item"><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=history"><span>Ver historial</span></a></li> </ul> </div> </div> <div id="p-tb" class="vector-menu mw-portlet mw-portlet-tb" > <div class="vector-menu-heading"> General </div> <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li id="t-whatlinkshere" class="mw-list-item"><a href="/wiki/Especial:LoQueEnlazaAqu%C3%AD/Domain_Name_System_Security_Extensions" title="Lista de todas las páginas de la wiki que enlazan aquí [j]" accesskey="j"><span>Lo que enlaza aquí</span></a></li><li id="t-recentchangeslinked" class="mw-list-item"><a href="/wiki/Especial:CambiosEnEnlazadas/Domain_Name_System_Security_Extensions" rel="nofollow" title="Cambios recientes en las páginas que enlazan con esta [k]" accesskey="k"><span>Cambios en enlazadas</span></a></li><li id="t-upload" class="mw-list-item"><a href="//commons.wikimedia.org/wiki/Special:UploadWizard?uselang=es" title="Subir archivos [u]" accesskey="u"><span>Subir archivo</span></a></li><li id="t-specialpages" class="mw-list-item"><a href="/wiki/Especial:P%C3%A1ginasEspeciales" title="Lista de todas las páginas especiales [q]" accesskey="q"><span>Páginas especiales</span></a></li><li id="t-permalink" class="mw-list-item"><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&oldid=159744986" title="Enlace permanente a esta versión de la página"><span>Enlace permanente</span></a></li><li id="t-info" class="mw-list-item"><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=info" title="Más información sobre esta página"><span>Información de la página</span></a></li><li id="t-cite" class="mw-list-item"><a href="/w/index.php?title=Especial:Citar&page=Domain_Name_System_Security_Extensions&id=159744986&wpFormIdentifier=titleform" title="Información sobre cómo citar esta página"><span>Citar esta página</span></a></li><li id="t-urlshortener" class="mw-list-item"><a href="/w/index.php?title=Especial:Acortador_de_URL&url=https%3A%2F%2Fes.wikipedia.org%2Fwiki%2FDomain_Name_System_Security_Extensions"><span>Obtener URL acortado</span></a></li><li id="t-urlshortener-qrcode" class="mw-list-item"><a href="/w/index.php?title=Especial:QrCode&url=https%3A%2F%2Fes.wikipedia.org%2Fwiki%2FDomain_Name_System_Security_Extensions"><span>Descargar código QR</span></a></li> </ul> </div> </div> <div id="p-coll-print_export" class="vector-menu mw-portlet mw-portlet-coll-print_export" > <div class="vector-menu-heading"> Imprimir/exportar </div> <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li id="coll-create_a_book" class="mw-list-item"><a href="/w/index.php?title=Especial:Libro&bookcmd=book_creator&referer=Domain+Name+System+Security+Extensions"><span>Crear un libro</span></a></li><li id="coll-download-as-rl" class="mw-list-item"><a href="/w/index.php?title=Especial:DownloadAsPdf&page=Domain_Name_System_Security_Extensions&action=show-download-screen"><span>Descargar como PDF</span></a></li><li id="t-print" class="mw-list-item"><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&printable=yes" title="Versión imprimible de esta página [p]" accesskey="p"><span>Versión para imprimir</span></a></li> </ul> </div> </div> <div id="p-wikibase-otherprojects" class="vector-menu mw-portlet mw-portlet-wikibase-otherprojects" > <div class="vector-menu-heading"> En otros proyectos </div> <div class="vector-menu-content"> <ul class="vector-menu-content-list"> <li class="wb-otherproject-link wb-otherproject-commons mw-list-item"><a href="https://commons.wikimedia.org/wiki/Category:DNSSEC" hreflang="en"><span>Wikimedia Commons</span></a></li><li id="t-wikibase" class="wb-otherproject-link wb-otherproject-wikibase-dataitem mw-list-item"><a href="https://www.wikidata.org/wiki/Special:EntityPage/Q41609" title="Enlace al elemento conectado del repositorio de datos [g]" accesskey="g"><span>Elemento de Wikidata</span></a></li> </ul> </div> </div> </div> </div> </div> </div> </nav> </div> </div> </div> <div class="vector-column-end"> <div class="vector-sticky-pinned-container"> <nav class="vector-page-tools-landmark" aria-label="Página de herramientas"> <div id="vector-page-tools-pinned-container" class="vector-pinned-container"> </div> </nav> <nav class="vector-appearance-landmark" aria-label="Apariencia"> <div id="vector-appearance-pinned-container" class="vector-pinned-container"> <div id="vector-appearance" class="vector-appearance vector-pinnable-element"> <div class="vector-pinnable-header vector-appearance-pinnable-header vector-pinnable-header-pinned" data-feature-name="appearance-pinned" data-pinnable-element-id="vector-appearance" data-pinned-container-id="vector-appearance-pinned-container" data-unpinned-container-id="vector-appearance-unpinned-container" > <div class="vector-pinnable-header-label">Apariencia</div> <button class="vector-pinnable-header-toggle-button vector-pinnable-header-pin-button" data-event-name="pinnable-header.vector-appearance.pin">mover a la barra lateral</button> <button class="vector-pinnable-header-toggle-button vector-pinnable-header-unpin-button" data-event-name="pinnable-header.vector-appearance.unpin">ocultar</button> </div> </div> </div> </nav> </div> </div> <div id="bodyContent" class="vector-body" aria-labelledby="firstHeading" data-mw-ve-target-container> <div class="vector-body-before-content"> <div class="mw-indicators"> </div> <div id="siteSub" class="noprint">De Wikipedia, la enciclopedia libre</div> </div> <div id="contentSub"><div id="mw-content-subtitle"></div></div> <div id="mw-content-text" class="mw-body-content"><div class="mw-content-ltr mw-parser-output" lang="es" dir="ltr"><p>Las <b>extensiones de seguridad para el sistema de nombres de dominio</b> (<i>Domain Name System Security Extensions</i> o <b>DNSSEC</b>, por sus siglas en <a href="/wiki/Idioma_ingl%C3%A9s" title="Idioma inglés">inglés</a>) son un conjunto de especificaciones de la <a href="/wiki/Internet_Engineering_Task_Force" class="mw-redirect" title="Internet Engineering Task Force">Internet Engineering Task Force</a> (IETF) para asegurar cierto tipo de información proporcionada por el <a href="/wiki/Sistema_de_nombres_de_dominio" title="Sistema de nombres de dominio">sistema de nombres de dominio</a> (DNS) que se usa en el <a href="/wiki/Protocolo_de_Internet" class="mw-redirect" title="Protocolo de Internet">protocolo de Internet</a> (IP). Se trata de un conjunto de extensiones para el DNS que proporcionan a los clientes DNS (o <i>resolvers</i>), la autenticación de origen de los datos DNS, denegación de existencia de autenticación y la integridad de los datos, pero no la disponibilidad o confidencialidad.<sup id="cite_ref-Cloudflare,_2017_1-0" class="reference separada"><a href="#cite_note-Cloudflare,_2017-1"><span class="corchete-llamada">[</span>1<span class="corchete-llamada">]</span></a></sup> </p> <meta property="mw:PageProp/toc" /> <div class="mw-heading mw-heading2"><h2 id="Descripción_general"><span id="Descripci.C3.B3n_general"></span>Descripción general</h2><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=1" title="Editar sección: Descripción general"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>El diseño original del <a href="/wiki/Domain_Name_System" class="mw-redirect" title="Domain Name System">Domain Name System</a> (DNS) no incluía la seguridad pues su objetivo de desarrollo estuvo enfocado en ser un sistema distribuido escalable. Las Extensiones de seguridad para el Sistema de Nombres de Dominio (DNSSEC) intentan aumentar la seguridad, y al mismo tiempo mantener la compatibilidad con lo más antiguo. En el documento <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc3833">RFC 3833</a> se documentan algunas amenazas conocidas en el DNS y cómo DNSSEC puede responder a esas amenazas.<sup id="cite_ref-Atkins_y_Auestien,2004_2-0" class="reference separada"><a href="#cite_note-Atkins_y_Auestien,2004-2"><span class="corchete-llamada">[</span>2<span class="corchete-llamada">]</span></a></sup> </p><p>DNSSEC fue diseñado para proteger a los resolutores de <a href="/wiki/Dominio_de_Internet" class="mw-redirect" title="Dominio de Internet">dominios de Internet</a> (a sus <a href="/wiki/Cliente-servidor" title="Cliente-servidor">clientes</a>) de datos de DNS que hayan sido falsificados, tales como la creados por <a href="/wiki/Envenenamiento_de_DNS" title="Envenenamiento de DNS">envenenamiento de caché DNS</a>. Todas las respuestas en DNSSEC son <a href="/wiki/Firma_digital" title="Firma digital">firmadas digitalmente.</a> Al comprobar la firma digital, el resolver es capaz de comprobar si la información es idéntica (correcta y completa) a la información en el servidor DNS autorizado. Si bien la protección de las direcciones IP es la preocupación inmediata para muchos usuarios, DNSSEC puede proteger otra información también, como certificados de cifrado de propósito general almacenadas en registro CERTs en el DNS. <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4398">RFC 4398</a> describe cómo distribuir estos certificados, incluidos los de <a href="/wiki/Correo_electr%C3%B3nico" title="Correo electrónico">correo electrónico</a>, haciendo posible el uso de DNSSEC en todo el mundo como una <a href="/wiki/Infraestructura_de_clave_p%C3%BAblica" title="Infraestructura de clave pública">infraestructura de clave pública</a> para el correo electrónico. </p><p>DNSSEC <i>no</i> garantiza la confidencialidad de los datos; en particular, todas las respuestas de DNSSEC se autentican, pero no se cifran. DNSSEC <i>no</i> protege directamente contra los <a href="/wiki/Ataques_de_denegaci%C3%B3n_de_servicio" class="mw-redirect" title="Ataques de denegación de servicio">Ataques de denegación de servicio</a>, aunque indirectamente, proporciona algún beneficio. Otras normas (no DNSSEC) se utilizan para proteger los datos a granel (como la <a href="/wiki/Transferencia_de_zona_DNS" title="Transferencia de zona DNS">transferencia de zona DNS</a>) que se envía entre los servidores DNS. Como se documenta en el IETF <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4367">RFC 4367</a>, algunos usuarios y desarrolladores hacen suposiciones falsas acerca de los nombres DNS, como el supuesto de que el nombre común de una empresa más ".com" es siempre su nombre de dominio. DNSSEC no puede proteger contra las falsas suposiciones, sino que solo puede autenticar que los datos son verdaderamente de o no disponible en el propietario del dominio. </p><p>Las especificaciones de DNSSEC (llamadas <i>DNSSEC-bis</i>), describen el actual protocolo DNSSEC en gran detalle. Véase los <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4033">RFC 4033</a>, <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4034">RFC 4034</a> y <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4035">RFC 4035</a>. Con la publicación de estos nuevos documentos RFC (marzo de 2005), el RFC anterior, <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc2535">RFC 2535</a> ha quedado obsoleto. </p><p>Se cree ampliamente que asegurar los DNS es de vital importancia para la seguridad en Internet como un todo,<sup id="cite_ref-Kaminsky,_2009_3-0" class="reference separada"><a href="#cite_note-Kaminsky,_2009-3"><span class="corchete-llamada">[</span>3<span class="corchete-llamada">]</span></a></sup> pero el despliegue de DNSSEC en concreto se ha visto obstaculizado por varias dificultades: </p> <ul><li>La necesidad de diseñar un estándar <a href="/wiki/Retrocompatibilidad" title="Retrocompatibilidad">compatible con versiones anteriores</a> que puede escalarse al tamaño de la Internet.</li> <li>Prevención de la "enumeración de la zona" (ver abajo) donde se desee.</li> <li>El despliegue de las implementaciones DNSSEC en una amplia variedad de servidores de DNS y resolvers (clientes).</li> <li>El desacuerdo entre los encargados de la ejecución sobre quién debe poseer las llaves de raíz de los <a href="/wiki/Dominio_de_nivel_superior" title="Dominio de nivel superior">dominios de nivel superior</a>.</li> <li>La superación de la aparente complejidad de DNSSEC y su despliegue.</li></ul> <p>Los investigadores de la industria han trabajado para mejorar el diseño del sistema de nombres de dominio para reducir la probabilidad de que los atacantes comprometan la infraestructura. Lo han hecho permitiendo diversas opciones y ajustando las pautas de cómo operan.<sup id="cite_ref-4" class="reference separada"><a href="#cite_note-4"><span class="corchete-llamada">[</span>4<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading2"><h2 id="Funcionamiento">Funcionamiento</h2><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=2" title="Editar sección: Funcionamiento"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>DNSSEC trabaja <a href="/wiki/Firma_digital" title="Firma digital">firmando digitalmente</a> estos registros para la búsqueda de DNS mediante <a href="/wiki/Criptograf%C3%ADa_de_clave_p%C3%BAblica" class="mw-redirect" title="Criptografía de clave pública">criptografía de clave pública</a>. El registro DNSKEY correcto se auténtica a través de una <a href="/wiki/Cadena_de_confianza" title="Cadena de confianza">cadena de confianza</a>, que comienza en un conjunto de claves públicas de la <a href="/wiki/Zona_ra%C3%ADz_del_DNS" title="Zona raíz del DNS">zona raíz del DNS</a>, que es la <a href="/w/index.php?title=Tercera_parte_de_confianza&action=edit&redlink=1" class="new" title="Tercera parte de confianza (aún no redactado)">tercera parte de confianza</a>. </p> <div class="mw-heading mw-heading3"><h3 id="Registros">Registros</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=3" title="Editar sección: Registros"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>El DNS se implementa mediante el uso de varios registros de recursos. Para implementar DNSSEC, varios de los nuevos <a href="/wiki/Domain_Name_System#Tipos_de_registros_DNS" class="mw-redirect" title="Domain Name System">tipos de registro DNS</a> se han creado o adaptado para su uso con DNSSEC: </p> <ul><li>RRSIG</li> <li>DNSKEY</li> <li>DS</li> <li>NSEC</li> <li>NSEC3</li> <li>NSEC3PARAM</li></ul> <p>Cuando se usa DNSSEC, cada respuesta a una búsqueda de DNS contendrá un registro RRSIG DNS además del tipo de registro que se solicitó. El registro RRSIG es una firma digital de la respuesta de DNS <a href="/w/index.php?title=Registro_de_recursos&action=edit&redlink=1" class="new" title="Registro de recursos (aún no redactado)">registro de recursos</a> conjunto. La firma digital puede ser verificada localizando la clave pública correcta se encuentra en un registro DNSKEY. El registro DS se utiliza en la autenticación de DNSKEYs en el procedimiento de búsqueda usando la cadena de confianza. Los registros NSEC y NSEC3 se utilizan para una resistencia fuerte contra la <a href="/wiki/Suplantaci%C3%B3n_de_identidad" class="mw-redirect" title="Suplantación de identidad">suplantación de identidad</a>. </p> <div class="mw-heading mw-heading4"><h4 id="Algoritmos">Algoritmos</h4><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=4" title="Editar sección: Algoritmos"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>DNSSEC fue diseñado para ser extensible y para que cuando se descubran ataques contra los algoritmos existentes, nuevos pueden ser introducidos en una forma <a href="/wiki/Retrocompatibilidad" title="Retrocompatibilidad">compatible con versiones anteriores</a>. A julio de 2009, se definieron los siguientes algoritmos de seguridad que son utilizados con mayor frecuencia:<sup id="cite_ref-IANA,_2020-04-14_5-0" class="reference separada"><a href="#cite_note-IANA,_2020-04-14-5"><span class="corchete-llamada">[</span>5<span class="corchete-llamada">]</span></a></sup> </p> <table class="wikitable"> <tbody><tr> <th>Campo<br />del<br />Algoritmo </th> <th>Algoritmo </th> <th><a href="/wiki/Request_for_Comments" title="Request for Comments">RFC</a> </th></tr> <tr> <td>0</td> <td>Borrado</td> <td><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4034">RFC 4034</a>, <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4398">RFC 4398</a>, <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc8078">RFC 8078</a> </td></tr> <tr> <td>1</td> <td><a href="/wiki/RSA" title="RSA">RSA</a>/<a href="/wiki/MD5" title="MD5">MD5</a><br />Desaprobado</td> <td><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc3110">RFC 3110</a>, <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4034">RFC 4034</a> </td></tr> <tr> <td>3</td> <td><a href="/wiki/DSA" title="DSA">DSA</a>/<a href="/wiki/SHA-1" title="SHA-1">SHA-1</a></td> <td>RFC3755, RFC2536 </td></tr> <tr> <td>5</td> <td>RSA/SHA-1</td> <td><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc3110">RFC 3110</a>, <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4034">RFC 4034</a> </td></tr> <tr> <td>7</td> <td>RSASHA1-NSEC3-SHA1</td> <td><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5155">RFC 5155</a> </td></tr> <tr> <td>8</td> <td>RSA/<a href="/wiki/SHA-2" title="SHA-2">SHA-2</a>56</td> <td rowspan="2"><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5702">RFC 5702</a> </td></tr> <tr> <td>10</td> <td>RSA/<a href="/wiki/SHA-2" title="SHA-2">SHA-512</a> </td></tr> <tr> <td>12</td> <td><a href="/wiki/GOST" title="GOST">GOST</a> <a href="/w/index.php?title=R_34.10-2001&action=edit&redlink=1" class="new" title="R 34.10-2001 (aún no redactado)">R 34.10-2001</a></td> <td><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5933">RFC 5933</a> </td></tr> <tr> <td>15</td> <td><a href="/wiki/EdDSA" title="EdDSA">EdDSA</a> ED25519</td> <td rowspan="2"><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc8080">RFC 8080</a> </td></tr> <tr> <td>16</td> <td>EdDSA ED448 </td></tr></tbody></table> <div class="mw-heading mw-heading3"><h3 id="El_procedimiento_de_búsqueda"><span id="El_procedimiento_de_b.C3.BAsqueda"></span>El procedimiento de búsqueda</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=5" title="Editar sección: El procedimiento de búsqueda"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>De los resultados de una búsqueda de DNS, un <a href="/w/index.php?title=Resolver_de_DNS&action=edit&redlink=1" class="new" title="Resolver de DNS (aún no redactado)">resolver de DNS</a> consciente de la seguridad puede determinar si la respuesta que recibió fue segura, o si era insegura y el <a href="/w/index.php?title=Servidor_de_nombres_autoritativo&action=edit&redlink=1" class="new" title="Servidor de nombres autoritativo (aún no redactado)">servidor de nombres autoritativo</a> para el dominio consultado no soporta DNSSEC o si hay algún tipo de error. El procedimiento de búsqueda es diferente para <a href="/w/index.php?title=Servidor_de_nombres_recursivos&action=edit&redlink=1" class="new" title="Servidor de nombres recursivos (aún no redactado)">servidor de nombres recursivos</a>, como los de muchos <a href="/wiki/Proveedor_de_servicios_de_Internet" class="mw-redirect" title="Proveedor de servicios de Internet">ISPs</a>, que para <a href="/w/index.php?title=Resolver_stub&action=edit&redlink=1" class="new" title="Resolver stub (aún no redactado)">resolvers stub</a>, como los incluidos por defecto en los sistemas operativos principales. <a href="/wiki/Microsoft_Windows" title="Microsoft Windows">Microsoft Windows</a> utiliza un resolver stub, y Windows Server 2008 R2 y Windows 7, en particular, utilizan un stub resolver que no valida DNSSEC, pero que es capaz de entender los mensajes.<sup id="cite_ref-windows-understanding_6-0" class="reference separada"><a href="#cite_note-windows-understanding-6"><span class="corchete-llamada">[</span>6<span class="corchete-llamada">]</span></a></sup><sup id="cite_ref-windows-dnssec_7-0" class="reference separada"><a href="#cite_note-windows-dnssec-7"><span class="corchete-llamada">[</span>7<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading4"><h4 id="Servidores_de_nombres_recursivos">Servidores de nombres recursivos</h4><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=6" title="Editar sección: Servidores de nombres recursivos"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Usando el modelo de la <a href="/wiki/Cadena_de_confianza" title="Cadena de confianza">cadena de confianza</a>, un registro de firmante delegado (DS) de un dominio principal (<a href="/w/index.php?title=Zona_DNS&action=edit&redlink=1" class="new" title="Zona DNS (aún no redactado)">zona DNS</a>) se puede utilizar para verificar un registro DNSKEY en un <a href="/wiki/Subdominio" title="Subdominio">subdominio</a>, que a su vez puede contener otros registros DS para verificar subdominios adicionales. Digamos que un resolver recursivo, como un servidor de nombre de un <a href="/wiki/Proveedor_de_servicios_de_Internet" class="mw-redirect" title="Proveedor de servicios de Internet">ISP</a> desea obtener las direcciones IP (<a href="/w/index.php?title=Registro_A&action=edit&redlink=1" class="new" title="Registro A (aún no redactado)">registro A</a> y / o <a href="/w/index.php?title=Registro_AAAA&action=edit&redlink=1" class="new" title="Registro AAAA (aún no redactado)">registro AAAA</a> s) del dominio "<tt>www.example.com</tt>". </p> <ol><li>El proceso comienza cuando un resolver que soporte seguridad establece el bit del parámetro "DO" en una consulta DNS. Dado que el bit DO está en los bits de los parámetros extendidos definidos por <a href="/wiki/EDNS" class="mw-redirect" title="EDNS">EDNS</a>, todas las transacciones deben soportar DNSSEC EDNS. El soporte de <a href="/wiki/EDNS" class="mw-redirect" title="EDNS">EDNS</a> también es necesario para permitir paquetes de tamaño mucho más grande como las transacciones DNSSEC requieren.</li> <li>Cuando el resolver recibe una respuesta a través del proceso normal de búsqueda de DNS, la comprueba para asegurarse de que la respuesta es correcta. Lo ideal sería que el resolver que soporte seguridad comenzará con la verificación de la DS y el registro DNSKEY en el <a href="/wiki/Servidor_Ra%C3%ADz" class="mw-redirect" title="Servidor Raíz">Servidor Raíz</a>. A continuación, se utiliza el registro DS para el <a href="/wiki/Dominio_de_nivel_superior" title="Dominio de nivel superior">dominio de nivel superior</a> "com" encontrado en la raíz para verificar los registros DNSKEY en la zona "com". A partir de ahí, revisaría si hay un registro DS para el subdominio "example.com" en la zona "com", y si lo hubiera, entonces utilizaría el registro DS para verificar el registro DNSKEY encuentra en la zona "example.com". Por último, sería verificar el registro RRSIG encontrado en la respuesta de los registros A para "www.example.com".</li></ol> <p>Hay varias excepciones al ejemplo anterior. </p><p>En primer lugar, si "example.com" no es compatible con DNSSEC, no habrá ningún registro RRSIG en la respuesta y no habrá un registro DS para "example.com" en la zona "com". Si hay un registro DS para "example.com", pero ningún registro RRSIG en la respuesta, algo está mal y tal vez un <a href="/wiki/Ataque_Man-in-the-middle" class="mw-redirect" title="Ataque Man-in-the-middle">Ataque Man-in-the-middle</a> está ocurriendo, modificando los registros A y eliminando la información de DNSSEC. O bien, podría ser un servidor de nombres indolente a la seguridad en alguna parte del camino que eliminó el bit de parámetro DO de la consulta o el registro RRSIG de la respuesta. O bien, podría ser un error de configuración. </p><p>Después, podría ser que no haya un dominio llamado "www.example.com", en cuyo caso en lugar de devolver un registro RRSIG en la respuesta, habrá o un registro NSEC o un registro NSEC3. Estos son registros "casi seguros" que permiten al resolver demostrar que un nombre de dominio no existe. Los registros NSEC/NSEC3 tienen registros RRSIG, los que pueden ser verificados como anteriormente. </p><p>Por último, puede ser que la zona "example.com" implemente DNSSEC, pero ya sea la raíz o la zona "com" no lo haga, creando una "isla de seguridad", que debe ser validado de alguna otra manera. En julio de 2010 se completó el despliegue de DNSSEC en la raíz<sup id="cite_ref-8" class="reference separada"><a href="#cite_note-8"><span class="corchete-llamada">[</span>8<span class="corchete-llamada">]</span></a></sup> El dominio.com fue firmado con claves de seguridad válidas y se añadió delegación segura a la zona de la raíz el 1 de abril del 2011.<sup id="cite_ref-9" class="reference separada"><a href="#cite_note-9"><span class="corchete-llamada">[</span>9<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading4"><h4 id="Stub_resolvers">Stub resolvers</h4><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=7" title="Editar sección: Stub resolvers"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Stub resolvers son "resolvers DNS mínimos que utilizan el modo de consulta recursiva para descargar la mayor parte del trabajo de resolución de DNS a un servidor de nombres recursivo".<sup id="cite_ref-rfc4033_section7_10-0" class="reference separada"><a href="#cite_note-rfc4033_section7-10"><span class="corchete-llamada">[</span>10<span class="corchete-llamada">]</span></a></sup> Un stub resolver simplemente enviará una solicitud a un servidor de nombres recursivo, y utilizará el bit de datos autenticados (<i>Authenticated Data</i>) (AD) en la respuesta como una "pista para averiguar si el servidor de nombres recursivo fue capaz de validar las firmas de todos los datos de las secciones de respuesta y la Autoridad de la respuesta."<sup id="cite_ref-rfc4033_p12_11-0" class="reference separada"><a href="#cite_note-rfc4033_p12-11"><span class="corchete-llamada">[</span>11<span class="corchete-llamada">]</span></a></sup> <a href="/wiki/Microsoft_Windows" title="Microsoft Windows">Microsoft Windows</a> utiliza un stub resolver, y Windows Server 2008 R2 y Windows 7 en particular usan un stub resolver no validante, pero capaz de revisar el bit AD.<sup id="cite_ref-windows-understanding_6-1" class="reference separada"><a href="#cite_note-windows-understanding-6"><span class="corchete-llamada">[</span>6<span class="corchete-llamada">]</span></a></sup><sup id="cite_ref-windows-dnssec_7-1" class="reference separada"><a href="#cite_note-windows-dnssec-7"><span class="corchete-llamada">[</span>7<span class="corchete-llamada">]</span></a></sup> </p><p>Un <i>stub resolver validante</i> también puede potencialmente llevar a cabo su propia validación de firma al fijar el bit de Checking Disabled (CD) en sus mensajes de consulta.<sup id="cite_ref-rfc4033_p12_11-1" class="reference separada"><a href="#cite_note-rfc4033_p12-11"><span class="corchete-llamada">[</span>11<span class="corchete-llamada">]</span></a></sup> Un stub resolver validante utiliza el CD bit para llevar a cabo su propia autenticación recursiva. Utilizar este tipo de stub resolver validantes le da al cliente DNS seguridad de extremo a extremo para los dominios que hayan implementado DNSSEC, incluso si el proveedor de servicios Internet o la conexión a ellos no es de confianza. </p><p>Para que los stub resolver no validante puedan confiar realmente en servicios DNSSEC, el stub resolver debe confiar tanto en los servidores de nombres recursivos en cuestión (los que suele ser controlados por el <a href="/wiki/Internet_Service_Provider" class="mw-redirect" title="Internet Service Provider">ISP</a>) y los canales de comunicación entre él y los servidores de nombres, utilizando métodos tales como <a href="/wiki/IPsec" title="IPsec">IPsec</a>, SIG(0), o TSIG.<sup id="cite_ref-rfc4033_p12_11-2" class="reference separada"><a href="#cite_note-rfc4033_p12-11"><span class="corchete-llamada">[</span>11<span class="corchete-llamada">]</span></a></sup> El uso de IPsec no está muy extendido<sup id="cite_ref-practical-ipsec_12-0" class="reference separada"><a href="#cite_note-practical-ipsec-12"><span class="corchete-llamada">[</span>12<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading3"><h3 id="Anclas_de_confianza_y_cadenas_de_autenticación"><span id="Anclas_de_confianza_y_cadenas_de_autenticaci.C3.B3n"></span>Anclas de confianza y cadenas de autenticación</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=8" title="Editar sección: Anclas de confianza y cadenas de autenticación"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Para ser capaz de demostrar que una respuesta DNS es correcta, es necesario conocer al menos un registro de DS que es correcto a partir de fuentes distintas de la DNS. Estos puntos de partida son conocidos como <b>anclas de confianza</b> y se obtienen normalmente con el <a href="/wiki/Sistema_operativo" title="Sistema operativo">sistema operativo</a> o por alguna otra fuente de confianza. Cuando DNSSEC fue originalmente diseñado, se pensó que la única ancla de confianza que se necesitaba era que la <a href="/wiki/Servidor_Ra%C3%ADz" class="mw-redirect" title="Servidor Raíz">raíz del DNS</a>. Las anclas de la raíz se publicaron por primera vez el 15 de julio de 2010.<sup id="cite_ref-13" class="reference separada"><a href="#cite_note-13"><span class="corchete-llamada">[</span>13<span class="corchete-llamada">]</span></a></sup> </p><p>Una <i><a href="/w/index.php?title=Cadena_de_autenticaci%C3%B3n&action=edit&redlink=1" class="new" title="Cadena de autenticación (aún no redactado)">cadena de autenticación</a></i> es una serie de registros DS y registros vinculados DNSKEY, comenzando con el <a href="/wiki/Ancla_de_confianza" title="Ancla de confianza">ancla de confianza</a> al <a href="/w/index.php?title=Servidor_de_nombres_autorizado&action=edit&redlink=1" class="new" title="Servidor de nombres autorizado (aún no redactado)">servidor de nombres autorizado</a> para el dominio en cuestión. Sin una cadena de autenticación completa, una respuesta a una búsqueda de DNS no puede autenticar de manera segura. </p> <div class="mw-heading mw-heading3"><h3 id="Firmas_y_firmas_de_zona">Firmas y firmas de zona</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=9" title="Editar sección: Firmas y firmas de zona"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Para limitar los ataques de repetición, no sólo hay valores <a href="/wiki/Tiempo_de_vida_(inform%C3%A1tica)" title="Tiempo de vida (informática)">TTL</a> para propósitos de caché, sino que también marcas de tiempo adicionales en los registros RRSIG para limitar la validez de una firma. A diferencia de valores TTL que son relativos al momento del envío del registro, las marcas de tiempo son absolutas. Esto significa que todos los resolvers DNS que tengan en cuenta la seguridad deberán tener los relojes sincronizados con un margen de minutos. </p><p>Estas marcas de tiempo implica que una zona debe volver a ser firmada y distribuida a los servidores secundarios, o las firmas serán rechazadas por los resolvers que validan. </p> <div class="mw-heading mw-heading3"><h3 id="La_gestión_de_claves"><span id="La_gesti.C3.B3n_de_claves"></span>La gestión de claves</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=10" title="Editar sección: La gestión de claves"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Con el fin de permitir la sustitución de claves, se requiere un esquema de despliegue de clave. Típicamente, esto implica en primer lugar el despliegue de nuevas llaves en nuevos registros DNSKEY, además de las llaves antiguas existentes. Entonces, cuando es seguro asumir que los valores del tiempo para vivir han hecho que las claves antiguas almacenadas en caché que hayan expirado, se puede utilizar estas nuevas claves. Por último, cuando es seguro asumir que los registros almacenados en caché utilizando las claves viejas han expirado, los viejos registros DNSKEY se pueden eliminar. Este proceso es más complicado para cosas tales como las claves para confiar en los anclajes, como en la raíz, los que pueden requerir una actualización del sistema operativo. </p><p>Las claves en los registros DNSKEY se puede utilizar para dos cosas diferentes y los normalmente se utilizan diferentes registros para cada uno. En primer lugar, son las claves DNSKEY de firma de clave (KSK), que se utilizan para firmar los registros de otros DNSKEY. En segundo lugar, están las claves de firma de la zona (ZSK) que se utilizan para firmar los registros de otros. Dado que los ZSKs están bajo el control completo y son usados por una determinada zona DNS, ellos se pueden cambiar más fácilmente y más a menudo. Como resultado, ZSKs puede ser mucho más cortos que los KSKs y todavía ofrecer el mismo nivel de protección, pero reduciendo el tamaño de los registros RRSIG / DNSKEY. </p><p>Cuando una nueva KSK se crea, el registro DS debe ser transferido a la zona superior y publicado allí. Los registros DS utilizan una síntesis del mensaje de la KSK lugar de la clave completa con el fin de mantener el tamaño de los registros pequeños. Esto es útil para zonas como el dominio. Com, que son muy grandes. El procedimiento para actualizar las claves de DS en la zona principal también es más sencillo que en versiones anteriores DNSSEC las que requerían los registros DNSKEY estuvieran en la zona principal. </p> <div class="mw-heading mw-heading3"><h3 id="Grupo_de_Trabajo_DANE">Grupo de Trabajo DANE</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=11" title="Editar sección: Grupo de Trabajo DANE"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>El grupo de trabajo de autenticación de entidades con nombre basado en DNS (del inglés <i>DNS-based Authentication of Named Entities</i>) (DANE) pertenece a la IETF<sup id="cite_ref-14" class="reference separada"><a href="#cite_note-14"><span class="corchete-llamada">[</span>14<span class="corchete-llamada">]</span></a></sup> y tiene el objetivo de desarrollo de protocolos y técnicas que permiten a las aplicaciones de Internet establecer comunicaciones criptográficamente seguras (con <a href="/wiki/IPsec" title="IPsec">IPsec</a>, <a href="/wiki/Transport_Layer_Security" class="mw-redirect" title="Transport Layer Security">TLS</a>, <a href="/wiki/DTLS" class="mw-redirect" title="DTLS">DTLS</a>) basadas en DNSSEC. </p><p>Los nuevos protocolos permitirán a garantías adicionales y limitaciones para el modelo tradicional basado en la <a href="/wiki/Infraestructura_de_clave_p%C3%BAblica" title="Infraestructura de clave pública">Infraestructura de clave pública</a>. También permitirá a los titulares de dominio para hacer valer los certificados por ellos mismos, sin hacer referencia a terceras <a href="/wiki/Autoridad_de_certificaci%C3%B3n" title="Autoridad de certificación">Autoridad de certificación</a>.<sup id="cite_ref-15" class="reference separada"><a href="#cite_note-15"><span class="corchete-llamada">[</span>15<span class="corchete-llamada">]</span></a></sup> </p><p>Soporte para certificados grapados DNSSEC se ha habilitado en <a href="/wiki/Google_Chrome" title="Google Chrome">Google Chrome</a> 14.<sup id="cite_ref-16" class="reference separada"><a href="#cite_note-16"><span class="corchete-llamada">[</span>16<span class="corchete-llamada">]</span></a></sup> Para <a href="/wiki/Mozilla_Firefox" title="Mozilla Firefox">Mozilla Firefox</a>, el soporte es proporcionado por un add-on,<sup id="cite_ref-17" class="reference separada"><a href="#cite_note-17"><span class="corchete-llamada">[</span>17<span class="corchete-llamada">]</span></a></sup> mientras que el soporte nativo está actualmente en desarrollo.<sup id="cite_ref-18" class="reference separada"><a href="#cite_note-18"><span class="corchete-llamada">[</span>18<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading2"><h2 id="Historia">Historia</h2><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=12" title="Editar sección: Historia"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>DNS es un servicio de Internet crítico y fundamental, sin embargo, en 1990 <a href="/w/index.php?title=Steve_Bellovin&action=edit&redlink=1" class="new" title="Steve Bellovin (aún no redactado)">Steve Bellovin</a> descubrió serias fallas de seguridad en él. Así comenzó la investigación para securitizar la información y aumentó drásticamente cuando su trabajo se hizo público en 1995.<sup id="cite_ref-19" class="reference separada"><a href="#cite_note-19"><span class="corchete-llamada">[</span>19<span class="corchete-llamada">]</span></a></sup> El primer <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc2065">RFC 2065</a> fue publicado por el IETF en 1997, y los intentos iniciales para implementar esa especificación llevaron a una versión revisida (y creían totalmente viable) especificada en 1999 como la IETF <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc2535">RFC 2535</a>. Se hicieron planes para implementar DNSSEC basado en <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc2535">RFC 2535</a>. </p><p>Por desgracia, la especificación IETF <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc2535">RFC 2535</a> tenía problemas muy importantes para escalar su uso a todo Internet; para el año 2001 se hizo evidente que esta especificación no servía para grandes redes. En operación normal los servidores DNS a menudo pierden la sincronización con sus superiores. Esto no suele ser un problema, pero cuando está habilitado DNSSEC, estos datos fuera de sincronización podría tener el serio efecto de una <a href="/wiki/Denegaci%C3%B3n_de_servicio" class="mw-redirect" title="Denegación de servicio">denegación de servicio</a> autocreada. El DNSSEC original requería un complejo protocolo de seis mensaje y una gran cantidad de transferencias de datos para llevar a cabo cambios fundamentales para un dependiente (las zonas DNS dependientes tenían que enviar a todos sus datos a los servidores superiores, que el superior firmara cada registro, y luego enviar los firmas de vuelta al dependiente para que éste la guarde en un registro SIG). Además, los cambios de <a href="/wiki/Clave_p%C3%BAblica" class="mw-redirect" title="Clave pública">llaves públicas</a> podría tener efectos absurdos; por ejemplo, si la zona ".com" cambiaba su clave pública, se tenía que enviar 22 millones de registros (ya que tendría que actualizar todas las firmas de todos sus dependientes). Así, DNSSEC como se define en el <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc2535">RFC 2535</a> no pudo escalar hasta la Internet. </p><p>La IETF modificó sustancialmente DNSSEC, que se llama <i>DNSSEC-bis</i> cuando es necesario distinguirlo del enfoque original de la <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc2535">RFC 2535</a>. Esta nueva versión utiliza "registros de recursos de firmante delegado (DS)" (en inglés <i>delegation signer (DS) resource records</i>) para proporcionar un nivel adicional de indirección en los puntos de delegación entre un servidor superior y una zona dependiente. En el nuevo enfoque, cuando un dependiente cambia de clave pública maestra, en lugar de tener que enviar seis mensajes para cada registro, hay un simple mensaje: el dependiente envía la nueva clave pública a su superior (firmado, por supuesto). Los superiores simplemente almacenan una clave pública maestra para cada dependiente, lo que es mucho más práctico. Esto significa que unos pocos datos se empuja a los superiores, en lugar de cantidades masivas de datos que se intercambian entre los superiores y dependientes. </p><p>Esto significa que los clientes tienen que hacer un poco más de trabajo al comprobar las llaves. Más específicamente, la verificación de clave RRset de una zona DNS requiere de dos operaciones de verificación de firmas en lugar de solo una, como era requerida por el <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc2535">RFC 2535</a> (no hay impacto en el número de firmas verificadas para otros tipos de RRsets). La mayoría ve esto como un pequeño precio a pagar, ya que cambia DNSSEC y lo hace mucho más práctico de implementar. </p> <div class="mw-heading mw-heading3"><h3 id="Normas">Normas</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=13" title="Editar sección: Normas"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <ul><li><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc2535">RFC 2535</a> extensiones de seguridad del sistema de nombres de dominio</li> <li><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc3833">RFC 3833</a> un análisis de amenazas del sistema de nombres de dominio</li> <li><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4033">RFC 4033</a> Introducción y Requisitos de Seguridad de DNS (<i>DNSSEC-bis</i>)</li> <li><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4034">RFC 4034</a> registros de recursos para las Extensiones de seguridad DNS (<i>DNSSEC-bis</i>)</li> <li><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4035">RFC 4035</a> Modificaciones de Protocolo de las Extensiones de seguridad DNS (<i>DNSSEC-bis</i>)</li> <li><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4398">RFC 4398</a> Almacenamiento de certificados en el Domain Name System (DNS)</li> <li><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4470">RFC 4470</a> Cobertura mínima de registros NSEC y firma en línea de DNSSEC</li> <li><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4509">RFC 4509</a> uso de SHA-256 en los registros de recursos (RR) de firmante Delegado (DS) DNSSEC</li> <li><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4641">RFC 4641</a> DNSSEC Prácticas Operacionales</li> <li><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5155">RFC 5155</a> DNSSEC negación autenticada de existencia por <a href="/wiki/Hash" class="mw-redirect" title="Hash">hash</a></li></ul> <div class="mw-heading mw-heading2"><h2 id="Tema_de_enumeración_de_zona,_la_controversia_y_NSEC3"><span id="Tema_de_enumeraci.C3.B3n_de_zona.2C_la_controversia_y_NSEC3"></span>Tema de enumeración de zona, la controversia y NSEC3</h2><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=14" title="Editar sección: Tema de enumeración de zona, la controversia y NSEC3"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Aunque el objetivo de DNSSEC es aumentar la seguridad, DNSSEC como se definió en los RFCs 4033 a 4035 presenta un nuevo problema que muchos creen es una nueva vulnerabilidad de seguridad: el tema de la enumeración de zona (también conocido como <i>zone walking</i>). DNSSEC obliga a la exposición de información que por mejores prácticas normales de DNS se mantienen como privada. NSEC3 (<a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5155">RFC 5155</a>) se desarrolló para abordar esta cuestión y fue lanzado en marzo de 2008. NSEC3 mitiga, pero no elimina, la enumeración de la zona, ya que es posible buscar de manera exhaustiva el conjunto de todos los nombres posibles en una zona.<sup id="cite_ref-20" class="reference separada"><a href="#cite_note-20"><span class="corchete-llamada">[</span>20<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading3"><h3 id="Porqué_los_datos_de_zona_DNS_normalmente_se_mantienen_privados"><span id="Porqu.C3.A9_los_datos_de_zona_DNS_normalmente_se_mantienen_privados"></span>Porqué los datos de zona DNS normalmente se mantienen privados</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=15" title="Editar sección: Porqué los datos de zona DNS normalmente se mantienen privados"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Cuando el protocolo DNS fue diseñado, no estaba destinado a ser un repositorio de información oculta. Sin embargo, como el DNS almacena la información sobre los detalles de una red relacionados con un dominio dado, muchos ven el contenido de su base de datos DNS como privado. En particular, los sistemas de DNS se configuran de manera que la mayoría de los usuarios no se les permite recuperar la lista completa de nombres u otra información en una zona. Esa lista sería de gran ayuda a los atacantes, ya que esta lista les puede dar información importante acerca de las máquinas que existen. Algunos administradores incluso poner el tipo de sistema e información de configuración en sus bases de datos de DNS, que es aún más valiosa para un atacante. El ampliamente utilizado libro de DNS and BIND (4 ª edición) por Albitz y Liu lo explica así: </p> <style data-mw-deduplicate="TemplateStyles:r161259348">.mw-parser-output .flexquote{display:flex;flex-direction:column;background-color:var(--background-color-neutral-subtle);color:var(--color-base);border-left:3px solid var(--border-color-base);font-size:90%;margin:1em 4em;padding:.4em .8em}.mw-parser-output .flexquote>.flex{display:flex;flex-direction:row}.mw-parser-output .flexquote>.flex>.quote{width:100%}.mw-parser-output .flexquote>.flex>.separator{border-left:1px solid var(--border-color-divider);border-top:1px solid var(--border-color-divider);margin:.4em .8em}.mw-parser-output .flexquote>.cite{text-align:right}@media all and (max-width:600px){.mw-parser-output .flexquote>.flex{flex-direction:column}}</style> <blockquote class="flexquote"> <div class="flex"> <div class="quote">Podría decirse que incluso más importante que controlar quien puede consultar su servidor de nombres es asegurarse que sólo los verdaderos servidores de nombres esclavos puedan transferir zonas desde su servidor de nombres. Los usuarios de equipos remotos sólo podrán buscar registros (por ejemplo, las direcciones) para nombres de dominio que ya saben, uno a la vez. Es la diferencia entre dejar que la gente al azar llamar a la centralita de su empresa y pregunte por el número de teléfono de John Q. [contra] el envío de una copia de su directorio telefónico corporativo.<sup id="cite_ref-21" class="reference separada"><a href="#cite_note-21"><span class="corchete-llamada">[</span>21<span class="corchete-llamada">]</span></a></sup></div> </div> </blockquote> <p>Además, la información de una zona enumerada se puede utilizar como una clave para múltiples consultas <a href="/wiki/WHOIS" title="WHOIS">WHOIS</a>, lo que podría revelar datos del registrante, lo que muchos registros deben proteger, ya que están bajo estrictas obligaciones legales en virtud de diversos contratos. </p><p>No está claro si es legal implementar DNSSEC en muchos países, a menos que dichas listas se puedan mantener en privado. DENIC ha declarado que la cuestión de enumeración de zona de DNSSEC viola la Ley Federal alemana de Protección de Datos. Otros países europeos tienen leyes similares que prohíben la privacidad de la publicación de ciertos tipos de información.<sup>[<i><a href="/wiki/Wikipedia:Verificabilidad" title="Wikipedia:Verificabilidad">cita requerida</a></i>]</sup> </p> <div class="mw-heading mw-heading3"><h3 id="DNSSEC_revela_datos_de_zona">DNSSEC revela datos de zona</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=16" title="Editar sección: DNSSEC revela datos de zona"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>El diseño original de DNSSEC requería que toda la lista de nombres de zona se revelará a todos. Como se indica en el <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4033">RFC 4033</a>, <link rel="mw-deduplicated-inline-style" href="mw-data:TemplateStyles:r161259348"> </p> <blockquote class="flexquote"> <div class="flex"> <div class="quote">DNSSEC introduce la posibilidad de que una parte hostil enumere todos los nombres en una zona, siguiendo la cadena de NSEC. Los RR de NSEC afirman que los nombres no existen en una zona mediante la vinculación del nombre existente a nombre existente a lo largo de un ordenamiento canónico de todos los nombres dentro de una zona. Por lo tanto, un atacante puede consultar estos RRs de NSEC en secuencia para obtener todos los nombres en una zona. Aunque esto no es un ataque contra el propio DNS, podría permitir a un atacante mapear los equipos de red u otros recursos mediante la enumeración de los contenidos de una zona.</div> </div> </blockquote> <p>Hay una "evidente" solución, llamada un DNS horizonte dividido, que es como los DNS sin DNSSEC es desplegado a veces - pero este enfoque no funciona bien con DNSSEC. En el enfoque "DNS horizonte dividido", el servidor DNS niega la existencia de nombres a algunos clientes, y proporciona la información correcta a otros clientes. Sin embargo, dado que la información DNSSEC está firmada criptográficamente como autoridad, un atacante podría solicitar el registro "no existe" firmado, y luego retransmitir el registro para causar una denegación de servicio. DNSSEC cambia fundamentalmente el DNS para que pueda proporcionar información fidedigna, por lo que no funciona bien con los métodos basados en el suministro de información falsa para algunos usuarios. La investigación ha producido recomendaciones para combinar adecuadamente estas dos características de DNS.<sup id="cite_ref-22" class="reference separada"><a href="#cite_note-22"><span class="corchete-llamada">[</span>22<span class="corchete-llamada">]</span></a></sup> </p><p>DNSSEC presentó este problema, ya que debe ser capaz de informar cuando un nombre "no" es encontrado. Los servidores DNS con soporte DNSSEC deben ser capaces de firmar ese reporte "no encontrado" de lo contrario un informe de no encontrado podrían ser fácilmente falsificados. Sin embargo, por razones de seguridad la clave de firma no debe estar en línea. Como resultado, DNSSEC fue diseñado para reportar un mensaje firmado que informa que un determinado rango de nombres no existe, que puede ser firmado por delante-de-tiempo fuera de línea. Desafortunadamente, esta información es suficiente para un atacante para ganar mucha<i> más información</i>, de lo que hubiera estado disponible para ellos de otra manera - es suficiente para permitir a un atacante obtener rápidamente todos los nombres en una zona, y luego a través de consultas específicas en los nombres para la reconstrucción de la totalidad o la mayor parte de los datos de una zona. </p><p>Como se señaló anteriormente, DNSSEC podría ser utilizado como la base de una <a href="/wiki/Infraestructura_de_clave_p%C3%BAblica" title="Infraestructura de clave pública">infraestructura de clave pública</a> mundial para direcciones de correo electrónico, mediante el uso de DNS para servir los certificados de correo electrónico y DNSSEC para validarlos. Sin embargo, este problema de DNSSEC hace esto poco probable para la mayoría de las organizaciones, al menos si se utiliza directamente. Como dice el <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4398">RFC 4398</a>, "Si una organización opta por emitir certificados para sus empleados, la colocación de CERT RR en el DNS por el nombre del propietario, y si DNSSEC (con NSEC) está en uso, es posible para alguien que enumere todos los empleados de la organización . Esto generalmente no se considera deseable, por la misma razón que los listados de las empresas telefónicas no están publicados a menudo en público e incluso están marcados como confidenciales." </p> <div class="mw-heading mw-heading3"><h3 id="Reacciones_iniciales">Reacciones iniciales</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=17" title="Editar sección: Reacciones iniciales"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Muchos de los participantes del grupo de trabajo de las extensiones DNS del IETF originalmente declaró que la enumeración de zona no era un problema importante, con el argumento de que los datos de los DNS era-o debería ser-pública. Sin embargo, los registradores y muchas organizaciones grandes dijeron a los miembros del grupo de trabajo que DNSSEC como se definía actualmente era inaceptable y que no haría o legalmente no podrían utilizarlo. </p> <div class="mw-heading mw-heading3"><h3 id="Firmado_en_línea"><span id="Firmado_en_l.C3.ADnea"></span>Firmado en línea</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=18" title="Editar sección: Firmado en línea"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Un enfoque para prevenir la enumeración de zona fue codificado en el <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4470">RFC 4470</a>. En lugar de firmar las respuestas no-encontrado por adelantado, una respuesta de no-encontrado se genera para cada consulta. Por ejemplo, si se recibe una consulta para 'b.example.com', en lugar de servir una respuesta previamente firmada diciendo que no hay nombres entre 'a.example.com "y" mail.example.com ", que revela la existencia de "mail.example.com", la respuesta podría ser que "no hay nombres entre b.example.com y ba.example.com '. Si la consulta siguiente se refiere a 'ba.example.com', la respuesta podría ser "no hay nombres entre ba.example.com y baa.example.com '. Esto hace que la enumeración de toda la zona impracticable. </p><p>Este método tiene algunas desventajas. Se requiere una clave de firma que se mantenga en línea y accesible a todos los servidores DNS. Muchas claves de firma de zona se mantienen en línea de todos modos para apoyar a re firmado de zona o actualizaciones automáticas dinámicas, pero estas funciones sólo son necesarios en un único servidor DNS principal, mientras que para soportar la firma en línea de la de zona la clave de firma se debe mantener en cada servidor DNS autorizados. Algunos servidores autorizados deben ser accesibles desde Internet y, preferiblemente, éstas estarán muy dispersas, haciendo difícil mantener las claves bajo control. También se requiere atención para evitar que un atacante inunde el servidor DNS con solicitudes de nombres falsos, denegando el servicio a los usuarios legítimos. </p> <div class="mw-heading mw-heading3"><h3 id="NSEC3">NSEC3</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=19" title="Editar sección: NSEC3"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Después de deliberar, se desarrolló una extensión: "DNSSEC Hashed Authenticated Denial of Existence" (informalmente llamado "NSEC3"). En este enfoque, los servidores conscientes de DNSSEC pueden optar por enviar un registro "NSEC3" en lugar de un registro NSEC cuando un registro no se encuentra. El registro NSEC3 está firmado, pero en lugar de incluir el nombre directamente (lo que permitiría la enumeración de zona), el registro NSEC3 incluye un valor criptográficamente hashed del nombre. El registro NSEC3 incluye tanto un hash después de un número de iteraciones y un salteado opcional, los cuales reducen la efectividad de los ataques de diccionario pre-calculados. El salteado aumenta el número de diccionarios necesarios para un ataque, mientras adicionales iteraciones de hash aumentan el costo de calcular cada diccionario. </p><p>En marzo de 2008, NSEC3 fue formalmente definida en el <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5155">RFC 5155</a>. </p> <div class="mw-heading mw-heading2"><h2 id="Despliegue">Despliegue</h2><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=20" title="Editar sección: Despliegue"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Internet es infraestructura crítica, sin embargo, su funcionamiento depende del DNS que es fundamentalmente inseguro. Por lo tanto, hay un fuerte incentivo para asegurar DNS y el despliegue de DNSSEC se considera generalmente que es una parte fundamental de ese esfuerzo. Por ejemplo, la <i>Estrategia Nacional para Asegurar el Ciberespacio</i> identifica específicamente la necesidad de securitizar el DNS.<sup id="cite_ref-23" class="reference separada"><a href="#cite_note-23"><span class="corchete-llamada">[</span>23<span class="corchete-llamada">]</span></a></sup> El despliegue a gran escala de DNSSEC podría resolver muchos otros problemas de seguridad, así como la distribución segura de claves para las direcciones de correo electrónico. </p><p>El despliegue de DNSSEC en redes de gran escala también es un reto. Ozment y Schechter observan que DNSSEC (y otras tecnologías) tiene un "problema de arranque": los usuarios normalmente sólo implementar una tecnología si reciben un beneficio inmediato, pero si se requiere un nivel mínimo de implementación antes de que los usuarios reciben un beneficio mayor que sus costos (como es cierto para DNSSEC), es difícil de implementar. DNSSEC se puede implementar en cualquier nivel de la jerarquía DNS, pero debe ser ampliamente disponible en una zona antes que muchos otros van a querer adoptarlo. Los servidores DNS deben actualizarse con el software que soporta DNSSEC, y los datos DNSSEC se deben crear y añaden a los datos de la zona DNS. Un cliente TCP / IP que utilizan deben tener su resolución de DNS (cliente) actualizado antes de que pueda utilizar las capacidades de DNSSEC. Lo que es más, cualquier resolver debe tener, o tener un modo de adquirir, al menos una clave pública que pueda confiar antes de que pueda empezar a utilizar DNSSEC. </p><p>La implementación de DNSSEC puede añadir una carga significativa para algunos servidores DNS. Las respuestas DNSSEC firmadas comunes son mucho más grandes que el tamaño por defecto UDP de 512 bytes. En teoría, esto puede ser manejado a través de múltiples fragmentos IP, pero muchos "middleboxes" en el campo no manejan esto correctamente. Esto conduce a la utilización de TCP en su lugar. Sin embargo, muchas implementaciones de TCP actuales almacenan una gran cantidad de datos para cada conexión TCP; servidores fuertemente cargados pueden quedarse sin recursos simplemente tratando de responder a un mayor número de (posiblemente falsas) peticiones DNSSEC. Algunas extensiones de protocolo, como <a href="/w/index.php?title=TCP_Cookie_Transactions&action=edit&redlink=1" class="new" title="TCP Cookie Transactions (aún no redactado)">TCP Cookie Transactions</a>, han sido desarrollados para reducir esta carga.<sup id="cite_ref-24" class="reference separada"><a href="#cite_note-24"><span class="corchete-llamada">[</span>24<span class="corchete-llamada">]</span></a></sup> Para hacer frente a estos desafíos, el esfuerzo significativo está en curso para implementar DNSSEC, debido a que el Internet es tan importante para tantas organizaciones. </p> <div class="mw-heading mw-heading3"><h3 id="Despliegue_inicial">Despliegue inicial</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=21" title="Editar sección: Despliegue inicial"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Los primeros en adoptar incluyen a <a href="/wiki/Brasil" title="Brasil">Brasil</a> (<a href="/wiki/.br" title=".br">.br</a>), <a href="/wiki/Bulgaria" title="Bulgaria">Bulgaria</a> (<a href="/wiki/.bg" title=".bg">.bg</a>), <a href="/wiki/Rep%C3%BAblica_Checa" title="República Checa">República Checa</a> (<a href="/wiki/.cz" title=".cz">.cz</a>), <a href="/wiki/Puerto_Rico" title="Puerto Rico">Puerto Rico</a> (<a href="/wiki/.pr" title=".pr">.pr</a>) y <a href="/wiki/Suecia" title="Suecia">Suecia</a> (<a href="/wiki/.se" title=".se">.se</a>), que utilizan DNSSEC para los dominios de nivel superior de sus países;<sup id="cite_ref-EPIC-20080527_25-0" class="reference separada"><a href="#cite_note-EPIC-20080527-25"><span class="corchete-llamada">[</span>25<span class="corchete-llamada">]</span></a></sup> <a href="/wiki/RIPE_NCC" title="RIPE NCC">RIPE NCC</a>, que han firmado todos los registros de búsqueda inversa (in-addr.arpa) que son delegados desde la <a href="/wiki/IANA" class="mw-redirect" title="IANA">Autoridad de Números Asignados de Internet</a> (IANA).<sup id="cite_ref-26" class="reference separada"><a href="#cite_note-26"><span class="corchete-llamada">[</span>26<span class="corchete-llamada">]</span></a></sup> <a href="/wiki/ARIN" class="mw-redirect" title="ARIN">ARIN</a> también está firmando sus zonas inversas.<sup id="cite_ref-27" class="reference separada"><a href="#cite_note-27"><span class="corchete-llamada">[</span>27<span class="corchete-llamada">]</span></a></sup> en febrero de 2007 TDC se convirtió en el primer ISP sueco para comenzar a ofrecer esta característica para sus clientes.<sup id="cite_ref-28" class="reference separada"><a href="#cite_note-28"><span class="corchete-llamada">[</span>28<span class="corchete-llamada">]</span></a></sup> </p><p>IANA probó públicamente una raíz firmada muestra desde junio de 2007. Durante este período previo a la firma de producción de la raíz, también hubo varias anclas de confianza alternativos. El IKS Jena introdujo uno el 19 de enero de 2006,<sup id="cite_ref-29" class="reference separada"><a href="#cite_note-29"><span class="corchete-llamada">[</span>29<span class="corchete-llamada">]</span></a></sup> el <a href="/wiki/Internet_Systems_Consortium" title="Internet Systems Consortium">Internet Systems Consortium</a> presentó otra el 27 de marzo del mismo año,<sup id="cite_ref-30" class="reference separada"><a href="#cite_note-30"><span class="corchete-llamada">[</span>30<span class="corchete-llamada">]</span></a></sup> mientras que <a href="/wiki/ICANN" class="mw-redirect" title="ICANN">ICANN</a> anunció una tercera el 17 de febrero de 2009.<sup id="cite_ref-31" class="reference separada"><a href="#cite_note-31"><span class="corchete-llamada">[</span>31<span class="corchete-llamada">]</span></a></sup> </p><p>Se han llevado a cabo una amplia variedad de proyectos piloto y experimentos.<a rel="nofollow" class="external text" href="http://www.dnssec.net/projects">dnssec.net</a> mantiene una lista de este tipo de proyectos. </p><p>El 2 de junio de 2009, el <a href="/w/index.php?title=Public_Interest_Registry&action=edit&redlink=1" class="new" title="Public Interest Registry (aún no redactado)">Public Interest Registry</a> (PIR) firmó la zona .org. El PIR también detalló el 26 de septiembre de 2008, que la primera fase, que implica grandes registrars que tiene una fuerte relación de trabajo con ("amigos y familiares") será el primero en ser capaz de firmar sus dominios, a partir de "principios de 2009".<sup id="cite_ref-32" class="reference separada"><a href="#cite_note-32"><span class="corchete-llamada">[</span>32<span class="corchete-llamada">]</span></a></sup> El 23 de junio de 2010, 13 registrars estaban listados como que ofrecían registros DNSSEC para dominios .ORG.<sup id="cite_ref-33" class="reference separada"><a href="#cite_note-33"><span class="corchete-llamada">[</span>33<span class="corchete-llamada">]</span></a></sup> </p><p><a href="/wiki/VeriSign" class="mw-redirect" title="VeriSign">VeriSign</a> hizo un proyecto piloto para permitir que los dominios .com y .net para inscribirse con el fin de experimentar con NSEC3. El 24 de febrero de 2009, anunciaron que iban a implementar DNSSEC en todos sus dominios de nivel superior (.com, .net, etc) dentro de 24 meses,<sup id="cite_ref-34" class="reference separada"><a href="#cite_note-34"><span class="corchete-llamada">[</span>34<span class="corchete-llamada">]</span></a></sup> y el 16 de noviembre del mismo año, dijeron que los dominios .com y .net serían firmadas el primer trimestre de 2011, después de retrasos causados por aspectos técnicos de la aplicación.<sup id="cite_ref-35" class="reference separada"><a href="#cite_note-35"><span class="corchete-llamada">[</span>35<span class="corchete-llamada">]</span></a></sup> Este objetivo se logró en el plazo fijado<sup id="cite_ref-36" class="reference separada"><a href="#cite_note-36"><span class="corchete-llamada">[</span>36<span class="corchete-llamada">]</span></a></sup> y el VP de DNSSEC de Verisign, Matt Larson, ganó el Premio de Liderazgo en Tecnología de InfoWorld en 2011 por su papel en la promoción de DNSSEC.<sup id="cite_ref-37" class="reference separada"><a href="#cite_note-37"><span class="corchete-llamada">[</span>37<span class="corchete-llamada">]</span></a></sup><sup id="cite_ref-38" class="reference separada"><a href="#cite_note-38"><span class="corchete-llamada">[</span>38<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading3"><h3 id="Despliegue_en_la_raíz_DNS"><span id="Despliegue_en_la_ra.C3.ADz_DNS"></span>Despliegue en la raíz DNS</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=22" title="Editar sección: Despliegue en la raíz DNS"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>DNSSEC se desplegó por primera vez en el nivel de la raíz, el 15 de julio de 2010.<sup id="cite_ref-dnssec-status-live_39-0" class="reference separada"><a href="#cite_note-dnssec-status-live-39"><span class="corchete-llamada">[</span>39<span class="corchete-llamada">]</span></a></sup> Se espera que esto simplifique en gran medida el despliegue de resolvers DNSSEC, ya que el ancla de confianza raíz se puede utilizar para validar cualquier zona DNSSEC que tiene una cadena completa de la confianza de la raíz. Puesto que la cadena de confianza se debe remontar a una raíz de confianza sin interrupción con el fin de validar, anclas de confianza aún deben configurarse para las zonas seguras, si cualquiera de las zonas por encima de ellos no son seguros. Por ejemplo, si la zona "signed.example.org" estaba asegurada pero la zona "example.org" no lo fue, entonces, a pesar de que la zona ".org" y la raíz se firmó, hay que tener un ancla de confianza para validar la zona. </p><p>Las cuestiones políticas que rodean la firma de la raíz han sido una preocupación continua, principalmente sobre algunas cuestiones centrales: </p> <ul><li>Otros países están preocupados por el control de Estados Unidos sobre el Internet, y pueden rechazar cualquier esquema centralizada de claves por esta razón.</li> <li>Algunos gobiernos podrían tratar de prohibir la distribución de claves de encriptación respaldadas por DNSSEC.</li></ul> <div class="mw-heading mw-heading4"><h4 id="Planificación"><span id="Planificaci.C3.B3n"></span>Planificación</h4><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=23" title="Editar sección: Planificación"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>En septiembre de 2008, la ICANN y VeriSign publicaron cada uno propuestas de implementación<sup id="cite_ref-40" class="reference separada"><a href="#cite_note-40"><span class="corchete-llamada">[</span>40<span class="corchete-llamada">]</span></a></sup> y, en octubre, la <a href="/w/index.php?title=NTIA&action=edit&redlink=1" class="new" title="NTIA (aún no redactado)">Administración Nacional de Telecomunicaciones e Información</a> (NTIA) pidió los comentarios del público.<sup id="cite_ref-41" class="reference separada"><a href="#cite_note-41"><span class="corchete-llamada">[</span>41<span class="corchete-llamada">]</span></a></sup> No está claro si los comentarios recibidos afectaron el diseño final del plan de implementación. </p><p>El 3 de junio de 2009, el <a href="/wiki/Instituto_Nacional_de_Est%C3%A1ndares_y_Tecnolog%C3%ADa" title="Instituto Nacional de Estándares y Tecnología">Instituto Nacional de Estándares y Tecnología</a> (NIST) anunció planes de firmar la raíz a finales de 2009, conjuntamente con ICANN, VeriSign y la NTIA.<sup id="cite_ref-NISTpr609_42-0" class="reference separada"><a href="#cite_note-NISTpr609-42"><span class="corchete-llamada">[</span>42<span class="corchete-llamada">]</span></a></sup> </p><p>El 6 de octubre de 2009, en la 59a reunión de la Conferencia RIPE, ICANN y VeriSign anunciaron el calendario de despliegue previsto de DNSSEC en la zona raíz.<sup id="cite_ref-conf_43-0" class="reference separada"><a href="#cite_note-conf-43"><span class="corchete-llamada">[</span>43<span class="corchete-llamada">]</span></a></sup> En la reunión se anunció que sería gradualmente desplegado a un servidor de nombres raíz al mes, comenzando el 1 de diciembre de 2009, con el último servidor de nombres raíz ofreciendo una zona firmada DNSSEC el 1 de julio de 2010, y la zona de la raíz se firmará con una DNSKEY RSA/SHA256.<sup id="cite_ref-conf_43-1" class="reference separada"><a href="#cite_note-conf-43"><span class="corchete-llamada">[</span>43<span class="corchete-llamada">]</span></a></sup> Durante el período de puesta en marcha gradual la zona de las raíces servirá una Deliberately Unvalidatable Root Zone (DURZ) que utiliza llaves falsas, con el registro DNSKEY final sin ser distribuido hasta el 1 de julio de 2010.<sup id="cite_ref-last-puzzle-pieces_44-0" class="reference separada"><a href="#cite_note-last-puzzle-pieces-44"><span class="corchete-llamada">[</span>44<span class="corchete-llamada">]</span></a></sup> Esto significa que las claves que usadas para firmar el uso de zona son deliberadamente no verificables; la razón de este despliegue era para monitorear los cambios en los patrones de tráfico causados por las mayores respuestas a las consultas que soliciten los registros de recursos DNSSEC. </p><p>El dominio .org de nivel superior ha sido firmado con DNSSEC en junio de 2010, seguido por <a href="/wiki/.com" title=".com">.com</a>, <a href="/wiki/.net" title=".net">.net</a> y <a href="/wiki/.edu" title=".edu">.edu</a> más tarde en 2010 y 2011.<sup id="cite_ref-45" class="reference separada"><a href="#cite_note-45"><span class="corchete-llamada">[</span>45<span class="corchete-llamada">]</span></a></sup><sup id="cite_ref-46" class="reference separada"><a href="#cite_note-46"><span class="corchete-llamada">[</span>46<span class="corchete-llamada">]</span></a></sup> Los dominios de código de país de primer nivel fueron capaces de depositar las llaves a partir de mayo de 2010.<sup id="cite_ref-heise_47-0" class="reference separada"><a href="#cite_note-heise-47"><span class="corchete-llamada">[</span>47<span class="corchete-llamada">]</span></a></sup> A noviembre de 2011, más de 25% de los dominios de nivel superior están firmados con DNSSEC.<sup id="cite_ref-48" class="reference separada"><a href="#cite_note-48"><span class="corchete-llamada">[</span>48<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading4"><h4 id="Implementación"><span id="Implementaci.C3.B3n"></span>Implementación</h4><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=24" title="Editar sección: Implementación"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>El 25 de enero de 2010, el servidor raíz L (ele) comenzó a ofrecer una Deliberately Unvalidatable Root Zone (DURZ). La zona utiliza firmas de hash SHA-2 (SHA-256) creado usando el algoritmo RSA, según se define en el <a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5702">RFC 5702</a>.<sup id="cite_ref-49" class="reference separada"><a href="#cite_note-49"><span class="corchete-llamada">[</span>49<span class="corchete-llamada">]</span></a></sup><sup id="cite_ref-50" class="reference separada"><a href="#cite_note-50"><span class="corchete-llamada">[</span>50<span class="corchete-llamada">]</span></a></sup><sup id="cite_ref-51" class="reference separada"><a href="#cite_note-51"><span class="corchete-llamada">[</span>51<span class="corchete-llamada">]</span></a></sup> A mayo de 2010, todos los trece servidores raíz han comenzado a ofrecer la DURZ.<sup id="cite_ref-last-puzzle-pieces_44-1" class="reference separada"><a href="#cite_note-last-puzzle-pieces-44"><span class="corchete-llamada">[</span>44<span class="corchete-llamada">]</span></a></sup> El 15 de julio de 2010, se firmó la primera zona raíz DNSSEC para producción, con el serial SOA 2010071501. Las anclas de confianza raíz están <a rel="nofollow" class="external text" href="https://data.iana.org/root-anchors/">disponibles en IANA</a>.<sup id="cite_ref-dnssec-status-live_39-1" class="reference separada"><a href="#cite_note-dnssec-status-live-39"><span class="corchete-llamada">[</span>39<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading3"><h3 id="Despliegue_a_nivel_de_TLD">Despliegue a nivel de <a href="/wiki/TLD" class="mw-redirect" title="TLD">TLD</a></h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=25" title="Editar sección: Despliegue a nivel de TLD"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Debajo de la raíz hay un gran conjunto de dominios de nivel superior que debe ser firmado con el fin de lograr un despliegue de DNSSEC completo. La lista de dominios de nivel superior de Internet proporciona detalles acerca de cuáles de los dominios de nivel superior existentes han sido firmados y ligados a la raíz. </p> <div class="mw-heading mw-heading3"><h3 id="Validación_DNSSEC_Lookaside"><span id="Validaci.C3.B3n_DNSSEC_Lookaside"></span>Validación DNSSEC Lookaside</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=26" title="Editar sección: Validación DNSSEC Lookaside"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>En marzo de 2006, el Internet Systems Consortium introdujo el registro de validación <i>DNSSEC Lookaside</i> (DLV).<sup id="cite_ref-52" class="reference separada"><a href="#cite_note-52"><span class="corchete-llamada">[</span>52<span class="corchete-llamada">]</span></a></sup> DLV fue pensado para hacer más fácil de implementar DNSSEC en ausencia de un ancla de confianza raíz. En el momento en que fue imaginado que un validador podría tener que mantener un gran número de anclas de confianza correspondientes a subárboles firmadas del DNS.<sup id="cite_ref-53" class="reference separada"><a href="#cite_note-53"><span class="corchete-llamada">[</span>53<span class="corchete-llamada">]</span></a></sup> El propósito de DLV era permitir que los validadores para descargar el esfuerzo de la gestión de un repositorio de confianza de anclaje a una confianza tercero. El registro DLV mantiene una lista central de anclas de confianza, en lugar de cada validador repetir el trabajo de mantener su propia lista. </p><p>Para utilizar DLV, se necesita un validador que lo soporte, como <a href="/wiki/BIND" title="BIND">BIND</a> o <a href="/wiki/Unbound" title="Unbound">Unbound</a>, configurado con un ancla de confianza para una zona DLV. Esta zona contiene los registros DLV;<sup id="cite_ref-54" class="reference separada"><a href="#cite_note-54"><span class="corchete-llamada">[</span>54<span class="corchete-llamada">]</span></a></sup> éstos tienen exactamente el mismo formato que los registros DS, pero en lugar de referirse a una sub-zona delegada, se refieren a una zona en otro lugar en el árbol DNS. Cuando el validador no puede encontrar una cadena de confianza desde la raíz hasta la RRset que está tratando de comprobar, busca un registro DLV que puede proporcionar una cadena alternativa de confianza.<sup id="cite_ref-55" class="reference separada"><a href="#cite_note-55"><span class="corchete-llamada">[</span>55<span class="corchete-llamada">]</span></a></sup> </p><p>DLV sigue siendo útil después de la raíz se ha firmado. Mientras que existen lagunas en la cadena de confianza, tales como dominios de nivel superior sin firmar, o registradores que no admitan delegaciones de DNSSEC, hostmasters de dominios de nivel inferior pueden utilizar DLV para que sea más fácil para sus usuarios validen sus datos DNS. </p> <div class="mw-heading mw-heading3"><h3 id="Iniciativa_de_despliegue_de_DNSSEC_del_gobierno_de_EE.UU">Iniciativa de despliegue de DNSSEC del gobierno de EE.UU</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=27" title="Editar sección: Iniciativa de despliegue de DNSSEC del gobierno de EE.UU"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>La Dirección de Ciencia y Tecnología del <a href="/wiki/Departamento_de_Seguridad_Nacional_de_los_Estados_Unidos" title="Departamento de Seguridad Nacional de los Estados Unidos">Departamento de Seguridad Nacional</a> (DHS) patrocina la "Iniciativa de implementación de DNSSEC". Esta iniciativa anima a "todos los sectores para adoptar voluntariamente medidas de seguridad que mejoren la seguridad de la infraestructura de nombres de Internet, como parte de un esfuerzo global, cooperativo que involucra a muchas naciones y organizaciones de los sectores público y privado." DHS también financia esfuerzos para madurar DNSSEC y conseguir que se despliegue dentro del gobierno federal de Estados Unidos. </p><p>Se informó<sup id="cite_ref-56" class="reference separada"><a href="#cite_note-56"><span class="corchete-llamada">[</span>56<span class="corchete-llamada">]</span></a></sup> que el 30 de marzo de 2007, el Departamento de Seguridad Nacional de Estados Unidos propuso "tener la clave para firmar la zona raíz del DNS sólidamente en manos del gobierno de Estados Unidos." Sin embargo no había funcionarios del gobierno de Estados Unidos presentes en la sala de reuniones y el comentario que desató el artículo fue hecho por un tercero. DHS comentó más adelante<sup id="cite_ref-57" class="reference separada"><a href="#cite_note-57"><span class="corchete-llamada">[</span>57<span class="corchete-llamada">]</span></a></sup><sup id="cite_ref-58" class="reference separada"><a href="#cite_note-58"><span class="corchete-llamada">[</span>58<span class="corchete-llamada">]</span></a></sup> sobre por qué creían que los demás saltaron a la falsa conclusión de que el Gobierno de Estados Unidos había hecho una propuesta de este tipo: "El Departamento de Seguridad Nacional de Estados Unidos está financiando el desarrollo de un plan técnico para la implementación de DNSSEC, y el pasado octubre distribuyó un primer borrador de la misma a una larga lista de expertos internacionales para que formulen observaciones. el proyecto establece una serie de opciones para el que podría ser el titular, u "operador" de la Zona clave raíz, esencialmente llegando a una agencia gubernamental o un contratista. "en ninguna parte del documento hacemos que cualquier propuesta sobre la identidad de la Raíz del operador principal," dijo Maughan, el gerente de investigación y desarrollo de la seguridad cibernética para la Seguridad de la Patria ". </p> <div class="mw-heading mw-heading3"><h3 id="Despliegue_de_DNSSEC_en_el_gobierno_de_EE.UU">Despliegue de DNSSEC en el gobierno de EE.UU</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=28" title="Editar sección: Despliegue de DNSSEC en el gobierno de EE.UU"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>El NIST produjo una publicación especial, la NIST Special Publication 800-81 Guía de Implementación de Domain Name System (DNS) seguro el 16 de mayo de 2006, con orientación sobre cómo implementar DNSSEC. NIST pretendía liberar requisitos nuevos para la nueva Ley de Gestión de Seguridad de la Información DNSSEC Federal (FISMA) en NIST SP800-53-R1, haciendo referencia a esta guía de implementación. Las agencias estadounidenses podrían entonces haber tenido un año después de la publicación final del NIST SP800-53-R1 para cumplir con estos nuevos requisitos de FISMA.<sup id="cite_ref-59" class="reference separada"><a href="#cite_note-59"><span class="corchete-llamada">[</span>59<span class="corchete-llamada">]</span></a></sup> Sin embargo, en ese momento NSEC3 no se había completado. NIST había sugerido el uso de dominios divididos, una técnica que se sabe que es posible, pero que es difícil de implementar correctamente, y tiene las debilidades de seguridad mencionados anteriormente. El 22 de agosto de 2008, la Oficina de Administración y Presupuesto (OMB) dio a conocer un memorando que requieren las agencias federales de Estados Unidos para implementar DNSSEC en todos los sitios .gov; la raíz .gov debía ser firmada en enero de 2009, y todos los subdominios bajo .gov debían ser firmados en diciembre de 2009.<sup id="cite_ref-60" class="reference separada"><a href="#cite_note-60"><span class="corchete-llamada">[</span>60<span class="corchete-llamada">]</span></a></sup> Si bien la nota se centra en los sitios .gov, la Agencia de Sistemas de Información de Defensa de Estados Unidos dice que tiene la intención de cumplir con los requisitos de la DNSSEC de la OMB en el dominio .mil (militar EE.UU.) también. Carolyn Duffy Marsan de NetworkWorld declaró que DNSSEC "no ha sido desplegado ampliamente, ya que sufre de un clásico dilema del huevo y la gallina ... con el mandato de la OMB, parece que el huevo se está resquebrajando".<sup id="cite_ref-61" class="reference separada"><a href="#cite_note-61"><span class="corchete-llamada">[</span>61<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading3"><h3 id="Despliegue_en_resolvers">Despliegue en resolvers</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=29" title="Editar sección: Despliegue en resolvers"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Varios proveedores de Internet han comenzado a implementar resolvers recursivas DNS con validación DNSSEC. Comcast se convirtió en el primer ISP importante hacerlo en los Estados Unidos, anunciando sus intenciones el 18 de octubre de 2010 [62] [63] y completando el despliegue el 11 de enero de 2012.<sup id="cite_ref-62" class="reference separada"><a href="#cite_note-62"><span class="corchete-llamada">[</span>62<span class="corchete-llamada">]</span></a></sup><sup id="cite_ref-63" class="reference separada"><a href="#cite_note-63"><span class="corchete-llamada">[</span>63<span class="corchete-llamada">]</span></a></sup> </p><p>Según el estudio de CircleID, la proporción de clientes que utilizan exclusivamente resolución de DNS que realizan la validación DNSSEC se ha elevado hasta el 8,3% en mayo de 2013.<sup id="cite_ref-CircleID_64-0" class="reference separada"><a href="#cite_note-CircleID-64"><span class="corchete-llamada">[</span>64<span class="corchete-llamada">]</span></a></sup> Cerca de la mitad de estos clientes estaba usando resolución del <a href="/wiki/Google_Public_DNS" title="Google Public DNS">DNS público de Google</a>. </p> <div class="mw-heading mw-heading4"><h4 id="DNS_Público_de_Google"><span id="DNS_P.C3.BAblico_de_Google"></span>DNS Público de Google</h4><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=30" title="Editar sección: DNS Público de Google"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Google Public DNS es un servicio de DNS público, proporcionado libremente, que permite usar DNSSEC plenamente. </p><p>En su lanzamiento en 2009, Google Public DNS no permitía DNSSEC. Los registros RRSIG por supuesto podían ser consultados, pero el flag AD (Datos Autenticados, lo que significa que el servidor fue capaz de validar las firmas de todos los datos) nunca fue marcada. </p><p>El 28 de enero de 2013, los servidores DNS de Google comenzaron silenciosamente a proporcionar información de validación DNSSEC,<sup id="cite_ref-65" class="reference separada"><a href="#cite_note-65"><span class="corchete-llamada">[</span>65<span class="corchete-llamada">]</span></a></sup> pero solo si el cliente establece de manera explícita el flag DNSSEC OK (DO) en su consulta.<sup id="cite_ref-CircleID_64-1" class="reference separada"><a href="#cite_note-CircleID-64"><span class="corchete-llamada">[</span>64<span class="corchete-llamada">]</span></a></sup> </p><p>El 6 de mayo de 2013, Google Public DNS habilita la validación DNSSEC de forma predeterminada; es decir todas las consultas serán validados a menos que los clientes optan explícitamente.<sup id="cite_ref-66" class="reference separada"><a href="#cite_note-66"><span class="corchete-llamada">[</span>66<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading4"><h4 id="Problemas">Problemas</h4><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=31" title="Editar sección: Problemas"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>Se ha sabido que Exchange 2013 y versiones anteriores tienen un problema, donde la búsqueda de registros MX causa errores #550 4.4.7 QUEUE.Expired.<sup id="cite_ref-67" class="reference separada"><a href="#cite_note-67"><span class="corchete-llamada">[</span>67<span class="corchete-llamada">]</span></a></sup> </p> <div class="mw-heading mw-heading2"><h2 id="Herramientas">Herramientas</h2><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=32" title="Editar sección: Herramientas"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <p>El despliegue de DNSSEC requiere software tanto en el servidor como en el cliente. Algunas de las herramientas que soportan DNSSEC incluyen: </p> <ul><li><a href="/wiki/Windows_7" title="Windows 7">Windows 7</a> y <a href="/wiki/Windows_Server_2008" title="Windows Server 2008">Windows Server 2008 R2</a> incluyen un stub resolver "consciente de la seguridad" que es capaz de diferenciar entre las respuestas seguras y no seguras de un servidor de nombres recursivo.<sup id="cite_ref-port53_68-0" class="reference separada"><a href="#cite_note-port53-68"><span class="corchete-llamada">[</span>68<span class="corchete-llamada">]</span></a></sup><sup id="cite_ref-69" class="reference separada"><a href="#cite_note-69"><span class="corchete-llamada">[</span>69<span class="corchete-llamada">]</span></a></sup></li> <li><a href="/wiki/BIND" title="BIND">BIND</a>, el servidor DNS nombre más popular (que incluye <a href="/w/index.php?title=Domain_Information_Groper&action=edit&redlink=1" class="new" title="Domain Information Groper (aún no redactado)">dig</a>). La versión 9.3 implementó el nuevo <i>DNSSEC-bis</i> (registros DS), aunque no soporta los registros NSEC3. BIND 9.6 fue lanzado en diciembre de 2008 y tiene soporte completo para los registros NSEC3.</li> <li><a rel="nofollow" class="external text" href="http://www.nlnetlabs.nl/projects/drill/">drill</a> es una herramienta como <a href="/w/index.php?title=Domain_Information_Groper&action=edit&redlink=1" class="new" title="Domain Information Groper (aún no redactado)">dig</a> habilitada para DNSSEC incluida en el paquete <a rel="nofollow" class="external text" href="http://www.nlnetlabs.nl/projects/ldns/">ldns</a>.</li> <li><a rel="nofollow" class="external text" href="https://web.archive.org/web/20090214160248/http://www.nlnetlabs.nl/projects/drill/drill_extension.html">extensión de drill para Firefox</a> agrega a <a href="/wiki/Mozilla_Firefox" title="Mozilla Firefox">Mozilla Firefox</a> la capacidad de determinar si un dominio se puede verificar usando DNSSEC.</li> <li><a rel="nofollow" class="external text" href="http://www.dnssec-tools.org/">DNSSEC-Tools</a> tiene como objetivo proporcionar herramientas fáciles de usar para ayudar a todo tipo de administradores y usuarios a hacer uso de DNSSEC. Ofrece herramientas para administradores de las zonas <a rel="nofollow" class="external text" href="https://web.archive.org/web/20090918203304/http://www.dnssec-tools.org/wiki/index.php/Authoritative_Zone_Administrator">zonas autoritativas</a>, <a rel="nofollow" class="external text" href="https://web.archive.org/web/20090914152335/http://www.dnssec-tools.org/wiki/index.php/Authoritative_Server">servidores autoritativos</a>, y <a rel="nofollow" class="external text" href="https://web.archive.org/web/20090918202358/http://www.dnssec-tools.org/wiki/index.php/Recursive_Server">servidores recursivos</a>, así como una biblioteca y herramientas para <a rel="nofollow" class="external text" href="https://web.archive.org/web/20090918102710/http://www.dnssec-tools.org/wiki/index.php/DNSSEC_Application_Development">desarrolladores de aplicaciones</a> y parches para extender <a rel="nofollow" class="external text" href="https://web.archive.org/web/20090911233359/http://www.dnssec-tools.org/wiki/index.php/DNSSEC_Applications">aplicaciones comunes</a>.</li> <li><a rel="nofollow" class="external text" href="http://www.hznet.de/dns/zkt/">Zone Key Tool</a> es un software diseñado para facilitar el mantenimiento de las zonas conscientes de DNSSEC. Está diseñado principalmente para entornos con un número pequeño o mediano de zonas y ofrece un despliegue totalmente automático de firmado de clave, así como su refirmado automático.</li> <li><a rel="nofollow" class="external text" href="http://www.unbound.net/">Unbound</a> es un servidor de nombres DNS que se ha escrito desde cero diseñado en torno a los conceptos de DNSSEC.</li> <li><a rel="nofollow" class="external text" href="https://web.archive.org/web/20110118083323/http://www.george-barwood.pwp.blueyonder.co.uk/DnsServer/">GbDns</a> es un servidor de nombres para Microsoft Windows compacto y fácil de instalar.</li> <li><a href="/wiki/UnxsBind" title="UnxsBind">UnxsBind</a> es un <a href="/w/index.php?title=Software_de_gesti%C3%B3n_de_DNS&action=edit&redlink=1" class="new" title="Software de gestión de DNS (aún no redactado)">software de gestión de DNS</a> GPL para ASPs de DNS que ahora es compatible con DNSSEC.</li> <li><a href="/wiki/OpenDNSSEC" title="OpenDNSSEC">OpenDNSSEC</a> es una herramienta para firmar DNSSEC usando <a href="/wiki/PKCS" title="PKCS">PKCS#11</a> para ser interfaz con <a href="/wiki/HSM" title="HSM">módulos de seguridad de hardware</a>.</li> <li><a rel="nofollow" class="external text" href="https://web.archive.org/web/20100505045636/http://secspider.cs.ucla.edu/">SecSpider</a> rastrea el despliegue de DNSSEC, monitorea zonas y proporciona una lista de claves públicas observadas.</li> <li><a rel="nofollow" class="external text" href="http://dnsviz.net/">DNSViz</a> y <a rel="nofollow" class="external text" href="http://dnssec-analyzer.verisignlabs.com">DNSSEC Analyzer</a> son herramientas basadas en Web para visualizar la cadena de autenticación de DNSSEC de un dominio.</li> <li><a rel="nofollow" class="external text" href="http://www.dnssec-validator.cz/">DNSSEC Validator</a> es un complemento de <a href="/wiki/Mozilla_Firefox" title="Mozilla Firefox">Mozilla Firefox</a> para la visualización del estado de DNSSEC del nombre de dominio visitado.</li> <li><a rel="nofollow" class="external text" href="http://registro.br/dnsshim/">DNSSHIM</a> o maestro DNS seguro oculto (<i>DNS Secure Hidden Master</i>) es una herramienta de código abierto para automatizar las zonas de apoyo DNSSEC el proceso de aprovisionamiento.</li> <li><a rel="nofollow" class="external text" href="http://www.net-dns.org/">Net::DNS::SEC</a> es un resolver DNS implementado en <a href="/wiki/Perl" title="Perl">Perl</a>.</li></ul> <div class="mw-heading mw-heading2"><h2 id="Véase_también"><span id="V.C3.A9ase_tambi.C3.A9n"></span>Véase también</h2><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=33" title="Editar sección: Véase también"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <ul><li><a href="/wiki/Mecanismos_de_extension_de_DNS" title="Mecanismos de extension de DNS">Mecanismos de extensión de DNS</a> permiten los paquetes más grandes que DNSSEC utiliza y el bit de señalización DO</li> <li><a href="/wiki/DNSCurve" title="DNSCurve">DNSCurve</a></li> <li><a href="/wiki/Privacidad_digital" title="Privacidad digital">Privacidad digital</a></li></ul> <div class="mw-heading mw-heading2"><h2 id="Referencias">Referencias</h2><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=34" title="Editar sección: Referencias"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <div class="listaref" style="-moz-column-count:2; -webkit-column-count:2; column-count:2; list-style-type: decimal;"><ol class="references"> <li id="cite_note-Cloudflare,_2017-1"><span class="mw-cite-backlink"><a href="#cite_ref-Cloudflare,_2017_1-0">↑</a></span> <span class="reference-text"> <span class="citation web"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20170117212040/https://www.cloudflare.com/dns/dnssec/how-dnssec-works/">«How DNSSEC Works» [¿Cómo funciona DNSSEC?]</a> <span style="color:var(--color-subtle, #555 );">(html)</span>. <i><a href="/wiki/Cloudflare" title="Cloudflare">Cloudflare</a></i> <span style="color:var(--color-subtle, #555 );">(en inglés)</span>. Archivado desde <a rel="nofollow" class="external text" href="https://www.cloudflare.com/dns/dnssec/how-dnssec-works/">el original</a> el 17 de enero de 2017<span class="reference-accessdate">. Consultado el 4 de abril de 2020</span>. «DNSSEC creates a secure domain name system by adding cryptographic signatures to existing DNS records. These digital signatures are stored in DNS name servers alongside common record types like A, AAAA, MX, CNAME, etc. By checking its associated signature, you can verify that a requested DNS record comes from its authoritative name server and wasn’t altered en-route, opposed to a fake record injected in a man-in-the-middle attack.»</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.atitle=How+DNSSEC+Works&rft.genre=article&rft.jtitle=Cloudflare&rft_id=https%3A%2F%2Fwww.cloudflare.com%2Fdns%2Fdnssec%2Fhow-dnssec-works%2F&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Ajournal" class="Z3988"><span style="display:none;"> </span></span> </span> </li> <li id="cite_note-Atkins_y_Auestien,2004-2"><span class="mw-cite-backlink"><a href="#cite_ref-Atkins_y_Auestien,2004_2-0">↑</a></span> <span class="reference-text"> <span class="citation web"><a rel="nofollow" class="external text" href="https://tools.ietf.org/html/rfc3833">«Threat Analysis of the Domain Name System (DNS)» [Análisis de Amenazas del Sistema de Nombres de Dominio (DNS)]</a> <span style="color:var(--color-subtle, #555 );">(html)</span>. <i><a href="/wiki/Grupo_de_Trabajo_de_Ingenier%C3%ADa_de_Internet" title="Grupo de Trabajo de Ingeniería de Internet">IETF</a></i> <span style="color:var(--color-subtle, #555 );">(en inglés)</span>. agosto de 2004<span class="reference-accessdate">. Consultado el 28 de abril de 2020</span>. «Among other drawbacks, this cart-before-the-horse situation has made it difficult to determine whether DNSSEC meets its design goals, since its design goals are not well specified.»</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.atitle=Threat+Analysis+of+the+Domain+Name+System+%28DNS%29&rft.date=agosto+de+2004&rft.genre=article&rft.jtitle=IETF&rft_id=https%3A%2F%2Ftools.ietf.org%2Fhtml%2Frfc3833&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Ajournal" class="Z3988"><span style="display:none;"> </span></span> </span> </li> <li id="cite_note-Kaminsky,_2009-3"><span class="mw-cite-backlink"><a href="#cite_ref-Kaminsky,_2009_3-0">↑</a></span> <span class="reference-text"> <span id="CITAREFMimoso25_de_junio_de_2009" class="citation web">Mimoso, Michael S. (25 de junio de 2009). <a rel="nofollow" class="external text" href="https://web.archive.org/web/20200103053245/https://searchsecurity.techtarget.com/news/1360143/Kaminsky-interview-DNSSEC-addresses-cross-organizational-trust-and-security">«Kaminsky interview: DNSSEC addresses cross-organizational trust and security» [Entrevista a Kaminsky: DNSSEC aborda la confianza y seguridad entre organizaciones]</a> <span style="color:var(--color-subtle, #555 );">(html)</span>. <i><a href="/w/index.php?title=TechTarget&action=edit&redlink=1" class="new" title="TechTarget (aún no redactado)">TechTarget</a></i> <span style="color:var(--color-subtle, #555 );">(en inglés)</span>. Archivado desde <a rel="nofollow" class="external text" href="https://searchsecurity.techtarget.com/news/1360143/Kaminsky-interview-DNSSEC-addresses-cross-organizational-trust-and-security">el original</a> el 3 de enero de 2012<span class="reference-accessdate">. Consultado el 4 de abril de 2020</span>. «DNSSEC is interesting not because it fixes DNS. DNSSEC is interesting because it allows us to start addressing core problems we have on the Internet in a systematic and scalable way.»</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.atitle=Kaminsky+interview%3A+DNSSEC+addresses+cross-organizational+trust+and+security&rft.au=Mimoso%2C+Michael+S.&rft.aufirst=Michael+S.&rft.aulast=Mimoso&rft.date=25+de+junio+de+2009&rft.genre=article&rft.jtitle=TechTarget&rft_id=https%3A%2F%2Fsearchsecurity.techtarget.com%2Fnews%2F1360143%2FKaminsky-interview-DNSSEC-addresses-cross-organizational-trust-and-security&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Ajournal" class="Z3988"><span style="display:none;"> </span></span> </span> </li> <li id="cite_note-4"><span class="mw-cite-backlink"><a href="#cite_ref-4">↑</a></span> <span class="reference-text"><span id="CITAREFKhormaliParkAlasmaryAnwar2021-02-11" class="citation publicación">Khormali, Aminollah; Park, Jeman; Alasmary, Hisham; Anwar, Afsah; Saad, Muhammad; Mohaisen, David (11 de febrero de 2021). <a rel="nofollow" class="external text" href="https://www.sciencedirect.com/science/article/pii/S1389128620313001">«Domain name system security and privacy: A contemporary survey»</a>. <i>Computer Networks</i> <b>185</b>: 107699. <small><a href="/wiki/ISSN" class="mw-redirect" title="ISSN">ISSN</a> <a rel="nofollow" class="external text" href="//portal.issn.org/resource/issn/1389-1286">1389-1286</a></small>. <small><a href="/wiki/Digital_object_identifier" class="mw-redirect" title="Digital object identifier">doi</a>:<a rel="nofollow" class="external text" href="https://dx.doi.org/10.1016%2Fj.comnet.2020.107699">10.1016/j.comnet.2020.107699</a></small><span class="reference-accessdate">. Consultado el 14 de octubre de 2023</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.atitle=Domain+name+system+security+and+privacy%3A+A+contemporary+survey&rft.au=Alasmary%2C+Hisham&rft.au=Anwar%2C+Afsah&rft.au=Khormali%2C+Aminollah&rft.au=Mohaisen%2C+David&rft.au=Park%2C+Jeman&rft.au=Saad%2C+Muhammad&rft.aufirst=Aminollah&rft.aulast=Khormali&rft.date=2021-02-11&rft.genre=article&rft.issn=1389-1286&rft.jtitle=Computer+Networks&rft.pages=107699&rft.volume=185&rft_id=https%3A%2F%2Fwww.sciencedirect.com%2Fscience%2Farticle%2Fpii%2FS1389128620313001&rft_id=info%3Adoi%2F10.1016%2Fj.comnet.2020.107699&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Ajournal" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-IANA,_2020-04-14-5"><span class="mw-cite-backlink"><a href="#cite_ref-IANA,_2020-04-14_5-0">↑</a></span> <span class="reference-text"> <span class="citation web"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20200428195428/https://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml">«Domain Name System Security (DNSSEC) Algorithm Numbers» [Números de algoritmo de seguridad del sistema de nombres de dominio (DNSSEC)]</a> <span style="color:var(--color-subtle, #555 );">(xhtml)</span>. <i><a href="/wiki/Internet_Assigned_Numbers_Authority" title="Internet Assigned Numbers Authority">IANA</a></i> <span style="color:var(--color-subtle, #555 );">(en inglés)</span>. 14 de abril de 2020. Archivado desde <a rel="nofollow" class="external text" href="https://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml">el original</a> el 28 de abril de 2020<span class="reference-accessdate">. Consultado el 28 de abril de 2020</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.atitle=Domain+Name+System+Security+%28DNSSEC%29+Algorithm+Numbers&rft.date=14+de+abril+de+2020&rft.genre=article&rft.jtitle=IANA&rft_id=https%3A%2F%2Fwww.iana.org%2Fassignments%2Fdns-sec-alg-numbers%2Fdns-sec-alg-numbers.xhtml&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Ajournal" class="Z3988"><span style="display:none;"> </span></span> </span> </li> <li id="cite_note-windows-understanding-6"><span class="mw-cite-backlink">↑ <a href="#cite_ref-windows-understanding_6-0"><sup><i><b>a</b></i></sup></a> <a href="#cite_ref-windows-understanding_6-1"><sup><i><b>b</b></i></sup></a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="http://technet.microsoft.com/en-us/library/ee649277(WS.10).aspx">«Entendiendo DNSSEC en Windows»</a>. <a href="/wiki/Microsoft" title="Microsoft">Microsoft</a>. 7 de octubre de 2009. «El cliente DNS de Windows es un resolver stub...»</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=Entendiendo+DNSSEC+en+Windows&rft.date=7+de+octubre+de+2009&rft.genre=book&rft.pub=Microsoft&rft_id=http%3A%2F%2Ftechnet.microsoft.com%2Fen-us%2Flibrary%2Fee649277%28WS.10%29.aspx&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-windows-dnssec-7"><span class="mw-cite-backlink">↑ <a href="#cite_ref-windows-dnssec_7-0"><sup><i><b>a</b></i></sup></a> <a href="#cite_ref-windows-dnssec_7-1"><sup><i><b>b</b></i></sup></a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="http://technet.microsoft.com/en-us/library/ee683904(WS.10).aspx">«Extensiones de seguridad DNS (DNSSEC)»</a>. <a href="/wiki/Microsoft" title="Microsoft">Microsoft</a>. 21 de octubre de 2009. «El cliente DNS en Windows Server 2008 R2 y Windows ® 7 es un resolver capaz de detectar seguridad, pero no de validar.»</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=Extensiones+de+seguridad+DNS+%28DNSSEC%29&rft.date=21+de+octubre+de+2009&rft.genre=book&rft.pub=Microsoft&rft_id=http%3A%2F%2Ftechnet.microsoft.com%2Fen-us%2Flibrary%2Fee683904%28WS.10%29.aspx&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-8"><span class="mw-cite-backlink"><a href="#cite_ref-8">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external free" href="http://www.root-dnssec.org/">http://www.root-dnssec.org/</a> </span> </li> <li id="cite_note-9"><span class="mw-cite-backlink"><a href="#cite_ref-9">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external free" href="http://www.v3.co.uk/v3-uk/news/2039287/verisign-adds-dnssec-com-domain-boost-online-security/">http://www.v3.co.uk/v3-uk/news/2039287/verisign-adds-dnssec-com-domain-boost-online-security/</a></span> </li> <li id="cite_note-rfc4033_section7-10"><span class="mw-cite-backlink"><a href="#cite_ref-rfc4033_section7_10-0">↑</a></span> <span class="reference-text"> <span class="citation publicación"><a rel="nofollow" class="external text" href="http://tools.ietf.org/html/rfc4033#section-7"><i>RFC 4033: DNS Security Introduction and Requirements</i></a>. <a href="/wiki/Internet_Society" title="Internet Society">Internet Society</a>. March 2005. p. 11. «Stub resolvers, by definition, are minimal DNS resolvers that use recursive query mode to offload most of the work of DNS resolution to a recursive name server.»</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=RFC+4033%3A+DNS+Security+Introduction+and+Requirements&rft.date=March+2005&rft.genre=book&rft.pages=11&rft.pub=Internet+Society&rft_id=http%3A%2F%2Ftools.ietf.org%2Fhtml%2Frfc4033%23section-7&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span> Una definición anterior fue dada en un anterior RFC: <span id="CITAREFRobert_BradenOctober_1989" class="citation publicación">Robert Braden (October 1989). <a rel="nofollow" class="external text" href="http://tools.ietf.org/html/rfc1123#page-74"><i>RFC 1123 - Requirements for Internet Hosts -- Application and Support</i></a>. IETF (<a href="/wiki/Internet_Engineering_Task_Force" class="mw-redirect" title="Internet Engineering Task Force">Internet Engineering Task Force</a>). p. 74. «A "stub resolver" relies on the services of a recursive name server [...]».</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.au=Robert+Braden&rft.aulast=Robert+Braden&rft.btitle=RFC+1123+-+Requirements+for+Internet+Hosts+--+Application+and+Support&rft.date=October+1989&rft.genre=book&rft.pages=74&rft.pub=IETF+%28Internet+Engineering+Task+Force%29&rft_id=http%3A%2F%2Ftools.ietf.org%2Fhtml%2Frfc1123%23page-74&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-rfc4033_p12-11"><span class="mw-cite-backlink">↑ <a href="#cite_ref-rfc4033_p12_11-0"><sup><i><b>a</b></i></sup></a> <a href="#cite_ref-rfc4033_p12_11-1"><sup><i><b>b</b></i></sup></a> <a href="#cite_ref-rfc4033_p12_11-2"><sup><i><b>c</b></i></sup></a></span> <span class="reference-text"><span class="citation publicación"><a rel="nofollow" class="external text" href="http://tools.ietf.org/html/rfc4033#page-12"><i>RFC 4033: DNS Security Introduction and Requirements</i></a>. <a href="/wiki/Internet_Society" title="Internet Society">Internet Society</a>. March 2005. p. 12.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=RFC+4033%3A+DNS+Security+Introduction+and+Requirements&rft.date=March+2005&rft.genre=book&rft.pages=12&rft.pub=Internet+Society&rft_id=http%3A%2F%2Ftools.ietf.org%2Fhtml%2Frfc4033%23page-12&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-practical-ipsec-12"><span class="mw-cite-backlink"><a href="#cite_ref-practical-ipsec_12-0">↑</a></span> <span class="reference-text"><span id="CITAREFMuñoz_MerinoGarcía-MartínezOrganeroKloos2006" class="citation libro">Muñoz Merino, Pedro J.; García-Martínez, Alberto; Organero, Mario Muñoz; Kloos, Carlos Delgado (2006). Meersman; Tari, Zahir; Herrero, Herrero Martín, eds. <a rel="nofollow" class="external text" href="https://web.archive.org/web/20120426065241/http://netcom.it.uc3m.es/publications/pdf/2006/fulltext.pdf"><i>Enabling Practical IPsec Authentication for the Internet</i></a>. On the Move to Meaningful Internet Systems 2006: OTM 2006 Workshops <span style="color:var(--color-subtle, #555 );">(en inglés)</span> <b>1</b>. <a href="/wiki/Springer_Science%2BBusiness_Media" title="Springer Science+Business Media">Springer</a>. pp. nombre-editor= Robert. Archivado desde <a rel="nofollow" class="external text" href="http://netcom.it.uc3m.es/publications/pdf/2006/fulltext.pdf">el original</a> el 26 de abril de 2012<span class="reference-accessdate">. Consultado el 13 de mayo de 2012</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.au=Garc%C3%ADa-Mart%C3%ADnez%2C+Alberto&rft.au=Kloos%2C+Carlos+Delgado&rft.au=Mu%C3%B1oz+Merino%2C+Pedro+J.&rft.au=Organero%2C+Mario+Mu%C3%B1oz&rft.aufirst=Pedro+J.&rft.aulast=Mu%C3%B1oz+Merino&rft.btitle=Enabling+Practical+IPsec+Authentication+for+the+Internet&rft.date=2006&rft.genre=book&rft.pages=nombre-editor%3D+Robert&rft.pub=Springer&rft.series=On+the+Move+to+Meaningful+Internet+Systems+2006%3A+OTM+2006+Workshops&rft.volume=1&rft_id=http%3A%2F%2Fnetcom.it.uc3m.es%2Fpublications%2Fpdf%2F2006%2Ffulltext.pdf&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-13"><span class="mw-cite-backlink"><a href="#cite_ref-13">↑</a></span> <span class="reference-text"> <a rel="nofollow" class="external text" href="https://data.iana.org/root-anchors/">anclas en la raíz</a> </span> </li> <li id="cite_note-14"><span class="mw-cite-backlink"><a href="#cite_ref-14">↑</a></span> <span class="reference-text"> <a rel="nofollow" class="external text" href="https://datatracker.ietf.org/wg/dane/charter/">IETF: autenticación de entidades con nombre basado en DNS (DANE)</a> </span> </li> <li id="cite_note-15"><span class="mw-cite-backlink"><a href="#cite_ref-15">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://grepular.com/DNSSEC_Will_Kill_Commercial_CAs">Grepular: DNSSEC Will Kill Comercial CA</a></span> </li> <li id="cite_note-16"><span class="mw-cite-backlink"><a href="#cite_ref-16">↑</a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="http://www.imperialviolet.org/2011/06/16/dnssecchrome.html">«ImperialViolet»</a><span class="reference-accessdate">. Consultado el 26 de noviembre de 2011</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=ImperialViolet&rft.genre=book&rft_id=http%3A%2F%2Fwww.imperialviolet.org%2F2011%2F06%2F16%2Fdnssecchrome.html&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-17"><span class="mw-cite-backlink"><a href="#cite_ref-17">↑</a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20131217224543/https://os3sec.org/">«Extended Validator DNSSEC»</a>. Archivado desde <a rel="nofollow" class="external text" href="https://os3sec.org/">el original</a> el 17 de diciembre de 2013<span class="reference-accessdate">. Consultado el 13 de mayo de 2012</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=Extended+Validator+DNSSEC&rft.genre=book&rft_id=https%3A%2F%2Fos3sec.org%2F&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-18"><span class="mw-cite-backlink"><a href="#cite_ref-18">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://bugzilla.mozilla.org/show_bug.cgi?id=672600">Bugzilla @ Mozilla: Bug 672600 - El uso de DNSSEC / DANE cadena de grapas en el protocolo de enlace TLS en la validación de certificados de la cadena</a></span> </li> <li id="cite_note-19"><span class="mw-cite-backlink"><a href="#cite_ref-19">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://citeseer.ist.psu.edu/bellovin95using.html">"Using the Domain Name System for System Break-Ins"</a> por Steve Bellovin, 1995</span> </li> <li id="cite_note-20"><span class="mw-cite-backlink"><a href="#cite_ref-20">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://cr.yp.to/talks/2009.08.10/slides.pdf">Breaking DNSSEC</a> Daniel J. Bernstein, 2009</span> </li> <li id="cite_note-21"><span class="mw-cite-backlink"><a href="#cite_ref-21">↑</a></span> <span class="reference-text"> <span id="CITAREFAlbitz2001" class="citation libro">Albitz, Pablo; Cricket Liu (abril de 2001). O'Reilly Media, Inc., ed. <a rel="nofollow" class="external text" href="https://archive.org/details/dnsbind00albi"><i>DNS and BIND</i></a> (4e. edición). <small><a href="/wiki/ISBN" title="ISBN">ISBN</a> <a href="/wiki/Especial:FuentesDeLibros/978-0-596-00158-2" title="Especial:FuentesDeLibros/978-0-596-00158-2">978-0-596-00158-2</a></small>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.au=Albitz%2C+Pablo&rft.aufirst=Pablo&rft.aulast=Albitz&rft.btitle=DNS+and+BIND&rft.date=abril+de+2001&rft.edition=4e.&rft.genre=book&rft.isbn=978-0-596-00158-2&rft_id=https%3A%2F%2Farchive.org%2Fdetails%2Fdnsbind00albi&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span> <span style="display:none;font-size:100%" class="error citation-comment">La referencia utiliza el parámetro obsoleto <code>|mes=</code> (<a href="/wiki/Ayuda:Errores_en_las_referencias#deprecated_params" title="Ayuda:Errores en las referencias">ayuda</a>); </span><span style="display:none;font-size:100%" class="error citation-comment">La referencia utiliza el parámetro obsoleto <code>|coautores=</code> (<a href="/wiki/Ayuda:Errores_en_las_referencias#deprecated_params" title="Ayuda:Errores en las referencias">ayuda</a>)</span> </span> </li> <li id="cite_note-22"><span class="mw-cite-backlink"><a href="#cite_ref-22">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://tools.ietf.org/html/draft-krishnaswamy-dnsop-dnssec-split-view">Split-View DNSSEC Operational Practices</a></span> </li> <li id="cite_note-23"><span class="mw-cite-backlink"><a href="#cite_ref-23">↑</a></span> <span class="reference-text"><span class="broken-link"><a rel="nofollow" class="external text" href="https://georgewbush-whitehouse.archives.gov/pcipb/cyberspace_strategy.pdf">U.S. <i>National Strategy to Secure Cyberspace</i></a></span> <span class="plainlinks" style="background-color: var(--background-color-warning-subtle,lightyellow); color: var(--color-base, #202122); font-size:85%">(<a href="/wiki/Ayuda:C%C3%B3mo_recuperar_un_enlace_roto" title="Ayuda:Cómo recuperar un enlace roto">enlace roto</a> disponible en <a href="/wiki/Internet_Archive" title="Internet Archive">Internet Archive</a>; véase el <a rel="nofollow" class="external text" href="//web.archive.org/web/*/http://georgewbush-whitehouse.archives.gov/pcipb/cyberspace_strategy.pdf">historial</a>, la <a rel="nofollow" class="external text" href="//web.archive.org/web/1/http://georgewbush-whitehouse.archives.gov/pcipb/cyberspace_strategy.pdf">primera versión</a> y la <a rel="nofollow" class="external text" href="//web.archive.org/web/2/http://georgewbush-whitehouse.archives.gov/pcipb/cyberspace_strategy.pdf">última</a>).</span>, p. 30 February 2003</span> </li> <li id="cite_note-24"><span class="mw-cite-backlink"><a href="#cite_ref-24">↑</a></span> <span class="reference-text"> <span id="CITAREFMetzger,_Perry,_William_Allen_Simpson,_and_Paul_Vixie" class="citation web">Metzger, Perry, William Allen Simpson, and Paul Vixie. <a rel="nofollow" class="external text" href="http://www.usenix.org/publications/login/2009-12/openpdfs/metzger.pdf">«Improving TCP security with robust cookies»</a>. <i>Usenix</i><span class="reference-accessdate">. Consultado el 17 de diciembre de 2009</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.atitle=Improving+TCP+security+with+robust+cookies&rft.au=Metzger%2C+Perry%2C+William+Allen+Simpson%2C+and+Paul+Vixie&rft.aulast=Metzger%2C+Perry%2C+William+Allen+Simpson%2C+and+Paul+Vixie&rft.genre=article&rft.jtitle=Usenix&rft_id=http%3A%2F%2Fwww.usenix.org%2Fpublications%2Flogin%2F2009-12%2Fopenpdfs%2Fmetzger.pdf&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Ajournal" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-EPIC-20080527-25"><span class="mw-cite-backlink"><a href="#cite_ref-EPIC-20080527_25-0">↑</a></span> <span class="reference-text">Electronic Privacy Information Center (EPIC) (May 27, 2008). <a rel="nofollow" class="external text" href="https://epic.org/privacy/dnssec/">DNSSEC</a></span> </li> <li id="cite_note-26"><span class="mw-cite-backlink"><a href="#cite_ref-26">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20071022171800/http://www.ripe.net/docs/ripe-359.html">RIPE NCC DNSSEC Policy</a></span> </li> <li id="cite_note-27"><span class="mw-cite-backlink"><a href="#cite_ref-27">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://www.arin.net/resources/dnssec/">ARIN DNSSEC Deployment Plan</a></span> </li> <li id="cite_note-28"><span class="mw-cite-backlink"><a href="#cite_ref-28">↑</a></span> <span class="reference-text"><span id="CITAREFEklund-Löwinder12_de_febrero_de_2012" class="citation web">Eklund-Löwinder, Anne-Marie (12 de febrero de 2012). <a rel="nofollow" class="external text" href="https://www.ripe.net/ripe/mail/archives/dns-wg/2007-February/001917.html">«[dns-wg] Swedish ISP TCD Song Adopts DNSSEC»</a>. <i>dns-wg mailing list</i>. RIPE NCC<span class="reference-accessdate">. Consultado el 2 de diciembre de 2012</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.atitle=%5Bdns-wg%5D+Swedish+ISP+TCD+Song+Adopts+DNSSEC&rft.au=Eklund-L%C3%B6winder%2C+Anne-Marie&rft.aufirst=Anne-Marie&rft.aulast=Eklund-L%C3%B6winder&rft.date=12+de+febrero+de+2012&rft.genre=article&rft.jtitle=dns-wg+mailing+list&rft.pub=RIPE+NCC&rft_id=https%3A%2F%2Fwww.ripe.net%2Fripe%2Fmail%2Farchives%2Fdns-wg%2F2007-February%2F001917.html&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Ajournal" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-29"><span class="mw-cite-backlink"><a href="#cite_ref-29">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20070305102531/http://www.ripe.net/ripe/maillists/archives/dns-wg/2006/msg00053.html">dns-wg archive: Signed zones list</a></span> </li> <li id="cite_note-30"><span class="mw-cite-backlink"><a href="#cite_ref-30">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20081118020616/https://www.isc.org/node/62">ISC Launches DLV registry to kick off worldwide DNSSEC deployment</a></span> </li> <li id="cite_note-31"><span class="mw-cite-backlink"><a href="#cite_ref-31">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://itar.iana.org/">Interim Trust Anchor Repository</a></span> </li> <li id="cite_note-32"><span class="mw-cite-backlink"><a href="#cite_ref-32">↑</a></span> <span class="reference-text"> <span id="CITAREFSean_Michael_Kerner" class="citation web">Sean Michael Kerner. <a rel="nofollow" class="external text" href="http://www.internetnews.com/security/article.php/3774131">«.ORG the Most Secure Domain?»</a>. <i>www.internetnews.com</i><span class="reference-accessdate">. Consultado el 27 de septiembre de 2008</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.atitle=.ORG+the+Most+Secure+Domain%3F&rft.au=Sean+Michael+Kerner&rft.aulast=Sean+Michael+Kerner&rft.genre=article&rft.jtitle=www.internetnews.com&rft_id=http%3A%2F%2Fwww.internetnews.com%2Fsecurity%2Farticle.php%2F3774131&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Ajournal" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-33"><span class="mw-cite-backlink"><a href="#cite_ref-33">↑</a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20100612212156/http://pir.org/get/registrars?order=field_dnssec_value&sort=desc">«.ORG Registrar List — with DNSSEC enabled at the top»</a>. Archivado desde <a rel="nofollow" class="external text" href="http://www.pir.org/get/registrars?order=field_dnssec_value&sort=desc">el original</a> el 12 de junio de 2010<span class="reference-accessdate">. Consultado el 23 de junio de 2010</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=.ORG+Registrar+List%26nbsp%3B%E2%80%94+with+DNSSEC+enabled+at+the+top&rft.genre=book&rft_id=http%3A%2F%2Fwww.pir.org%2Fget%2Fregistrars%3Forder%3Dfield_dnssec_value%26sort%3Ddesc&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-34"><span class="mw-cite-backlink"><a href="#cite_ref-34">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://www.networkworld.com/news/2009/022409-verisign-dns-security.html?page=1">VeriSign: We will support DNS security in 2011</a> <a rel="nofollow" class="external text" href="https://web.archive.org/web/20090303103411/http://www.networkworld.com/news/2009/022409-verisign-dns-security.html?page=1">Archivado</a> el 3 de marzo de 2009 en <a href="/wiki/Wayback_Machine" title="Wayback Machine">Wayback Machine</a>.</span> </li> <li id="cite_note-35"><span class="mw-cite-backlink"><a href="#cite_ref-35">↑</a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20091119200931/http://news.zdnet.co.uk/security/0,1000000189,39877966,00.htm">«VeriSign: Major internet security update by 2011»</a>. Archivado desde <a rel="nofollow" class="external text" href="http://news.zdnet.co.uk/security/0,1000000189,39877966,00.htm">el original</a> el 19 de noviembre de 2009<span class="reference-accessdate">. Consultado el 18 de septiembre de 2014</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=VeriSign%3A+Major+internet+security+update+by+2011&rft.genre=book&rft_id=http%3A%2F%2Fnews.zdnet.co.uk%2Fsecurity%2F0%2C1000000189%2C39877966%2C00.htm&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-36"><span class="mw-cite-backlink"><a href="#cite_ref-36">↑</a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="https://archive.today/20130123041030/http://www.esecurityplanet.com/features/article.php/3929786/com-Domain-Finally-Safe.htm">«.com Domain Finally Safe»</a>. Archivado desde <a rel="nofollow" class="external text" href="http://www.esecurityplanet.com/features/article.php/3929786/com-Domain-Finally-Safe.htm">el original</a> el 23 de enero de 2013<span class="reference-accessdate">. Consultado el 27 de junio de 2011</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=.com+Domain+Finally+Safe&rft.genre=book&rft_id=http%3A%2F%2Fwww.esecurityplanet.com%2Ffeatures%2Farticle.php%2F3929786%2Fcom-Domain-Finally-Safe.htm&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-37"><span class="mw-cite-backlink"><a href="#cite_ref-37">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://www.circleid.com/posts/20110601_verisign_matt_larson_wins_2011_infoworld_technology_leadership/">Verisign's Matt Larson Wins 2011 InfoWorld Technology Leadership Award</a></span> </li> <li id="cite_note-38"><span class="mw-cite-backlink"><a href="#cite_ref-38">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://www.infoworld.com/t/information-technology-careers/the-infoworld-2011-technology-leadership-awards-959">The InfoWorld 2011 Technology Leadership Awards</a></span> </li> <li id="cite_note-dnssec-status-live-39"><span class="mw-cite-backlink">↑ <a href="#cite_ref-dnssec-status-live_39-0"><sup><i><b>a</b></i></sup></a> <a href="#cite_ref-dnssec-status-live_39-1"><sup><i><b>b</b></i></sup></a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="http://www.root-dnssec.org/2010/07/16/status-update-2010-07-16/">«Root DNSSEC Status Update, 2010-07-16»</a>. 16 de julio de 2010.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=Root+DNSSEC+Status+Update%2C+2010-07-16&rft.date=16+de+julio+de+2010&rft.genre=book&rft_id=http%3A%2F%2Fwww.root-dnssec.org%2F2010%2F07%2F16%2Fstatus-update-2010-07-16%2F&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-40"><span class="mw-cite-backlink"><a href="#cite_ref-40">↑</a></span> <span class="reference-text"><span id="CITAREFSingel,_Ryan8_de_octubre_de_2006" class="citation noticia">Singel, Ryan (8 de octubre de 2006). <a rel="nofollow" class="external text" href="http://blog.wired.com/27bstroke6/2008/10/feds-take-step.html">«Feds Start Moving on Net Security Hole»</a>. <i>Wired News</i> (CondéNet)<span class="reference-accessdate">. Consultado el 9 de octubre de 2008</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.atitle=Feds+Start+Moving+on+Net+Security+Hole&rft.au=Singel%2C+Ryan&rft.aulast=Singel%2C+Ryan&rft.date=8+de+octubre+de+2006&rft.genre=article&rft.jtitle=Wired+News&rft.pub=Cond%C3%A9Net&rft_id=http%3A%2F%2Fblog.wired.com%2F27bstroke6%2F2008%2F10%2Ffeds-take-step.html&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Ajournal" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-41"><span class="mw-cite-backlink"><a href="#cite_ref-41">↑</a></span> <span class="reference-text"><span class="citation noticia"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20081013070057/http://www.ntia.doc.gov/press/2008/DNSSEC_081009.html">«Press Release: NTIA Seeks Public Comments for the Deployment of Security Technology Within the Internet Domain Name System»</a>. National Telecommunications and Information Administration, U.S. Department of Commerce. 9 de octubre de 2008. Archivado desde <a rel="nofollow" class="external text" href="http://www.ntia.doc.gov/press/2008/DNSSEC_081009.html">el original</a> el 13 de octubre de 2008<span class="reference-accessdate">. Consultado el 9 de octubre de 2008</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=Press+Release%3A+NTIA+Seeks+Public+Comments+for+the+Deployment+of+Security+Technology+Within+the+Internet+Domain+Name+System&rft.date=9+de+octubre+de+2008&rft.genre=book&rft.pub=National+Telecommunications+and+Information+Administration%2C+U.S.+Department+of+Commerce&rft_id=http%3A%2F%2Fwww.ntia.doc.gov%2Fpress%2F2008%2FDNSSEC_081009.html&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-NISTpr609-42"><span class="mw-cite-backlink"><a href="#cite_ref-NISTpr609_42-0">↑</a></span> <span class="reference-text"><span class="citation noticia"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20090607200545/http://www.nist.gov/public_affairs/releases/dnssec_060309.html">«Commerce Department to Work with ICANN and VeriSign to Enhance the Security and Stability of the Internet's Domain Name and Addressing System»</a>. National Institute of Standards and Technology. 3 de junio de 2009. Archivado desde <a rel="nofollow" class="external text" href="http://www.nist.gov/public_affairs/releases/dnssec_060309.html">el original</a> el 7 de junio de 2009.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=Commerce+Department+to+Work+with+ICANN+and+VeriSign+to+Enhance+the+Security+and+Stability+of+the+Internet%27s+Domain+Name+and+Addressing+System&rft.date=3+de+junio+de+2009&rft.genre=book&rft.pub=National+Institute+of+Standards+and+Technology&rft_id=http%3A%2F%2Fwww.nist.gov%2Fpublic_affairs%2Freleases%2Fdnssec_060309.html&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-conf-43"><span class="mw-cite-backlink">↑ <a href="#cite_ref-conf_43-0"><sup><i><b>a</b></i></sup></a> <a href="#cite_ref-conf_43-1"><sup><i><b>b</b></i></sup></a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="http://www.ripe.net/ripe/meetings/ripe-59/presentations/abley-dnssec-root-zone.pdf">«DNSSEC for the Root Zone»</a>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=DNSSEC+for+the+Root+Zone&rft.genre=book&rft_id=http%3A%2F%2Fwww.ripe.net%2Fripe%2Fmeetings%2Fripe-59%2Fpresentations%2Fabley-dnssec-root-zone.pdf&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-last-puzzle-pieces-44"><span class="mw-cite-backlink">↑ <a href="#cite_ref-last-puzzle-pieces_44-0"><sup><i><b>a</b></i></sup></a> <a href="#cite_ref-last-puzzle-pieces_44-1"><sup><i><b>b</b></i></sup></a></span> <span class="reference-text"><span id="CITAREFHutchinson6_de_mayo_de_2010" class="citation publicación">Hutchinson, James (6 de mayo de 2010). <a rel="nofollow" class="external text" href="https://web.archive.org/web/20131220202008/http://www.networkworld.com/news/2010/050610-icann-verisign-place-last-puzzle.html?hpg1=bn"><i>ICANN, Verisign place last puzzle pieces in DNSSEC saga</i></a>. NetworkWorld. Archivado desde <a rel="nofollow" class="external text" href="http://www.networkworld.com/news/2010/050610-icann-verisign-place-last-puzzle.html?hpg1=bn">el original</a> el 20 de diciembre de 2013<span class="reference-accessdate">. Consultado el 18 de septiembre de 2014</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.au=Hutchinson%2C+James&rft.aufirst=James&rft.aulast=Hutchinson&rft.btitle=ICANN%2C+Verisign+place+last+puzzle+pieces+in+DNSSEC+saga&rft.date=6+de+mayo+de+2010&rft.genre=book&rft.pub=NetworkWorld&rft_id=http%3A%2F%2Fwww.networkworld.com%2Fnews%2F2010%2F050610-icann-verisign-place-last-puzzle.html%3Fhpg1%3Dbn&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-45"><span class="mw-cite-backlink"><a href="#cite_ref-45">↑</a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20100315143451/http://www.thetechherald.com/article.php/201010/5366/DNSSEC-to-become-standard-on-ORG-domains-by-end-of-June">«DNSSEC to become standard on .ORG domains by end of June»</a>. Archivado desde <a rel="nofollow" class="external text" href="http://www.thetechherald.com/article.php/201010/5366/DNSSEC-to-become-standard-on-ORG-domains-by-end-of-June">el original</a> el 15 de marzo de 2010<span class="reference-accessdate">. Consultado el 24 de marzo de 2010</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=DNSSEC+to+become+standard+on+.ORG+domains+by+end+of+June&rft.genre=book&rft_id=http%3A%2F%2Fwww.thetechherald.com%2Farticle.php%2F201010%2F5366%2FDNSSEC-to-become-standard-on-ORG-domains-by-end-of-June&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-46"><span class="mw-cite-backlink"><a href="#cite_ref-46">↑</a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20110404225604/http://www.theinquirer.net/inquirer/news/2039648/verisign-deploys-dnssec-com-tld">«The Inquirer: Verisign deploys DNSSEC on .com TLD»</a>. Archivado desde <a rel="nofollow" class="external text" href="http://www.theinquirer.net/inquirer/news/2039648/verisign-deploys-dnssec-com-tld">el original</a> el 4 de abril de 2011<span class="reference-accessdate">. Consultado el 18 de septiembre de 2014</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=The+Inquirer%3A+Verisign+deploys+DNSSEC+on+.com+TLD&rft.genre=book&rft_id=http%3A%2F%2Fwww.theinquirer.net%2Finquirer%2Fnews%2F2039648%2Fverisign-deploys-dnssec-com-tld&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-heise-47"><span class="mw-cite-backlink"><a href="#cite_ref-heise_47-0">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://www.h-online.com/security/news/item/More-security-for-root-DNS-servers-962569.html">More security for root DNS servers</a> Heise Online, 24 March 2010</span> </li> <li id="cite_note-48"><span class="mw-cite-backlink"><a href="#cite_ref-48">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://www.circleid.com/posts/20111130_dnssec_update_from_icann_42_in_dakar/">CircleID: DNSSEC Update from ICANN 42 in Dakar</a></span> </li> <li id="cite_note-49"><span class="mw-cite-backlink"><a href="#cite_ref-49">↑</a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="http://www.root-dnssec.org/wp-content/uploads/2010/06/draft-icann-dnssec-arch-v1dot4.pdf">«DNSSEC Root Zone High Level Technical Architecture»</a>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=DNSSEC+Root+Zone+High+Level+Technical+Architecture&rft.genre=book&rft_id=http%3A%2F%2Fwww.root-dnssec.org%2Fwp-content%2Fuploads%2F2010%2F06%2Fdraft-icann-dnssec-arch-v1dot4.pdf&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-50"><span class="mw-cite-backlink"><a href="#cite_ref-50">↑</a></span> <span class="reference-text"><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5702">RFC 5702</a>, §2.1. "RSA public keys for use with RSA/SHA-256 are stored in DNSKEY resource records (RRs) with the algorithm number 8."</span> </li> <li id="cite_note-51"><span class="mw-cite-backlink"><a href="#cite_ref-51">↑</a></span> <span class="reference-text"><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5702">RFC 5702</a>, §3.1. "RSA/SHA-256 signatures are stored in the DNS using RRSIG resource records (RRs) with algorithm number 8."</span> </li> <li id="cite_note-52"><span class="mw-cite-backlink"><a href="#cite_ref-52">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20110614123636/https://www.isc.org/news-article/isc-launches-dlv-registry-kick-worldwide-dnssec-deployment">ISC Launches DLV registry to kick off worldwide DNSSEC deployment</a></span> </li> <li id="cite_note-53"><span class="mw-cite-backlink"><a href="#cite_ref-53">↑</a></span> <span class="reference-text"><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5011">RFC 5011</a>, "Automated Updates of DNS Security (DNSSEC) Trust Anchors"</span> </li> <li id="cite_note-54"><span class="mw-cite-backlink"><a href="#cite_ref-54">↑</a></span> <span class="reference-text"><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc4431">RFC 4431</a>, "The DNSSEC Lookaside Validation (DLV) DNS Resource Record"</span> </li> <li id="cite_note-55"><span class="mw-cite-backlink"><a href="#cite_ref-55">↑</a></span> <span class="reference-text"><a class="external mw-magiclink-rfc" rel="nofollow" href="https://tools.ietf.org/html/rfc5074">RFC 5074</a>, "DNSSEC Lookaside Validation (DLV)"</span> </li> <li id="cite_note-56"><span class="mw-cite-backlink"><a href="#cite_ref-56">↑</a></span> <span class="reference-text"><i><a rel="nofollow" class="external text" href="http://www.heise.de/english/newsticker/news/87655">Department of Homeland and Security wants master key for DNS</a> <a rel="nofollow" class="external text" href="https://web.archive.org/web/20070406172122/http://www.heise.de/english/newsticker/news/87655">Archivado</a> el 6 de abril de 2007 en <a href="/wiki/Wayback_Machine" title="Wayback Machine">Wayback Machine</a>.</i> <a href="/w/index.php?title=Heinz_Heise&action=edit&redlink=1" class="new" title="Heinz Heise (aún no redactado)">Heise</a> News, 30 March 2007</span> </li> <li id="cite_note-57"><span class="mw-cite-backlink"><a href="#cite_ref-57">↑</a></span> <span class="reference-text"><i><a rel="nofollow" class="external text" href="http://www.upi.com/Security_Terrorism/Analysis/2007/04/12/analysis_owning_the_keys_to_the_internet/">Analysis: of Owning the keys to the Internet</a></i> <a href="/wiki/United_Press_International" title="United Press International">UPI</a>, April 21, 2007</span> </li> <li id="cite_note-58"><span class="mw-cite-backlink"><a href="#cite_ref-58">↑</a></span> <span class="reference-text"><i><a rel="nofollow" class="external text" href="http://www.mail-archive.com/osint@yahoogroups.com/msg39697.html">UPI Analysis: Owning the keys to the Internet </a></i> March 24, 2011 - First link is dead, this is believed to be the same content</span> </li> <li id="cite_note-59"><span class="mw-cite-backlink"><a href="#cite_ref-59">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20071122021856/http://www.dnssec-deployment.org/news/dnssecthismonth/200606-dnssecthismonth/">DNSSEC Deployment Initiative Newsletter - Volume 1, Number 2</a>, June 2006</span> </li> <li id="cite_note-60"><span class="mw-cite-backlink"><a href="#cite_ref-60">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://www.whitehouse.gov/omb/memoranda/fy2008/m08-23.pdf">Memorandum For Chief Information Officers</a> <a rel="nofollow" class="external text" href="https://web.archive.org/web/20080916034802/http://www.whitehouse.gov/omb/memoranda/fy2008/m08-23.pdf">Archivado</a> el 16 de septiembre de 2008 en <a href="/wiki/Wayback_Machine" title="Wayback Machine">Wayback Machine</a>. Executive Office Of The President — Office Of Management And Budget, 22 August 2008</span> </li> <li id="cite_note-61"><span class="mw-cite-backlink"><a href="#cite_ref-61">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://www.networkworld.com/news/2008/092208-government-web-security.html">Feds tighten security on .gov</a> <a rel="nofollow" class="external text" href="https://web.archive.org/web/20080925011755/http://www.networkworld.com/news/2008/092208-government-web-security.html">Archivado</a> el 25 de septiembre de 2008 en <a href="/wiki/Wayback_Machine" title="Wayback Machine">Wayback Machine</a>. Network World, 22 September 2008</span> </li> <li id="cite_note-62"><span class="mw-cite-backlink"><a href="#cite_ref-62">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://blog.comcast.com/2010/10/dns-security-rollout-begins.html">Comcast Blog - DNS Security Rollout Begins</a>, October 18, 2010</span> </li> <li id="cite_note-63"><span class="mw-cite-backlink"><a href="#cite_ref-63">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://www.dnssec.comcast.net/dnssec-video.htm">Comcast DNSSEC Public Service Announcement Video</a> <a rel="nofollow" class="external text" href="https://web.archive.org/web/20101021044129/http://www.dnssec.comcast.net/dnssec-video.htm">Archivado</a> el 21 de octubre de 2010 en <a href="/wiki/Wayback_Machine" title="Wayback Machine">Wayback Machine</a>., October 18, 2010</span> </li> <li id="cite_note-CircleID-64"><span class="mw-cite-backlink">↑ <a href="#cite_ref-CircleID_64-0"><sup><i><b>a</b></i></sup></a> <a href="#cite_ref-CircleID_64-1"><sup><i><b>b</b></i></sup></a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://www.circleid.com/posts/20130717_dns_dnssec_and_googles_public_dns_service/">Geoff Huston: DNS, DNSSEC and Google's Public DNS Service (CircleID)</a></span> </li> <li id="cite_note-65"><span class="mw-cite-backlink"><a href="#cite_ref-65">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://seclists.org/nanog/2013/Jan/690">Google's Public DNS does DNSSEC validation</a> nanog mailing list archives, 29 January 2013</span> </li> <li id="cite_note-66"><span class="mw-cite-backlink"><a href="#cite_ref-66">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="http://googleonlinesecurity.blogspot.com/2013/03/google-public-dns-now-supports-dnssec.html">Google Public DNS Now Supports DNSSEC Validation</a> Google Code Blog, 1 June 2013</span> </li> <li id="cite_note-67"><span class="mw-cite-backlink"><a href="#cite_ref-67">↑</a></span> <span class="reference-text"><span class="citation web"><a rel="nofollow" class="external text" href="https://web.archive.org/web/20141024042348/http://forums.comcast.com/t5/E-Mail-and-Xfinity-Connect-Help/Domains-unable-to-send-to-Comcast-net-from-Exchange-servers/td-p/1176693">«Copia archivada»</a>. Archivado desde <a rel="nofollow" class="external text" href="http://forums.comcast.com/t5/E-Mail-and-Xfinity-Connect-Help/Domains-unable-to-send-to-Comcast-net-from-Exchange-servers/td-p/1176693">el original</a> el 24 de octubre de 2014<span class="reference-accessdate">. Consultado el 18 de septiembre de 2014</span>.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.btitle=Copia+archivada&rft.genre=book&rft_id=http%3A%2F%2Fforums.comcast.com%2Ft5%2FE-Mail-and-Xfinity-Connect-Help%2FDomains-unable-to-send-to-Comcast-net-from-Exchange-servers%2Ftd-p%2F1176693&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Abook" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-port53-68"><span class="mw-cite-backlink"><a href="#cite_ref-port53_68-0">↑</a></span> <span class="reference-text"> <span id="CITAREFSeshadri11_de_noviembre_de_2008" class="citation web">Seshadri, Shyam (11 de noviembre de 2008). <a rel="nofollow" class="external text" href="https://web.archive.org/web/20150901151027/http://blogs/">«DNSSEC on Windows 7 DNS client»</a>. <i>Puerto 53</i>. Microsoft. Archivado desde <a rel="nofollow" class="external text" href="http://blogs.">technet.com/sseshad/archive/2008/11/11/dnssec-on-windows-7-dns-client.aspx~~HEAD=NNS el original</a> el 1 de septiembre de 2015.</span><span title="ctx_ver=Z39.88-2004&rfr_id=info%3Asid%2Fes.wikipedia.org%3ADomain+Name+System+Security+Extensions&rft.atitle=DNSSEC+on+Windows+7+DNS+client&rft.au=Seshadri%2C+Shyam&rft.aufirst=Shyam&rft.aulast=Seshadri&rft.date=11+de+noviembre+de+2008&rft.genre=article&rft.jtitle=Puerto+53&rft.pub=Microsoft&rft_id=http%3A%2F%2Fblogs.+technet.com%2Fsseshad%2Farchive%2F2008%2F11%2F11%2Fdnssec-on-windows-7-dns-client.aspx~~HEAD%3DNNS&rft_val_fmt=info%3Aofi%2Ffmt%3Akev%3Amtx%3Ajournal" class="Z3988"><span style="display:none;"> </span></span></span> </li> <li id="cite_note-69"><span class="mw-cite-backlink"><a href="#cite_ref-69">↑</a></span> <span class="reference-text"><a rel="nofollow" class="external text" href="https://www.dns-oarc.net/files/workshop-2006/Microsoft-DNSSEC.pdf">DNSSEC en Windows Server</a></span> </li> </ol></div> <div class="mw-heading mw-heading2"><h2 id="Enlaces_externos">Enlaces externos</h2><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=35" title="Editar sección: Enlaces externos"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <table style="" class="noprint plainlinks ambox ambox-style"> <tbody><tr> <td class="ambox-image" width="40"> <span class="mw-default-size" typeof="mw:File"><a href="/wiki/Archivo:Spanish_Language_Wiki.svg" class="mw-file-description"><img alt="" src="//upload.wikimedia.org/wikipedia/commons/thumb/2/2a/Spanish_Language_Wiki.svg/44px-Spanish_Language_Wiki.svg.png" decoding="async" width="44" height="40" class="mw-file-element" srcset="//upload.wikimedia.org/wikipedia/commons/thumb/2/2a/Spanish_Language_Wiki.svg/66px-Spanish_Language_Wiki.svg.png 1.5x, //upload.wikimedia.org/wikipedia/commons/thumb/2/2a/Spanish_Language_Wiki.svg/88px-Spanish_Language_Wiki.svg.png 2x" data-file-width="220" data-file-height="200" /></a></span></td> <td class="ambox-text"><div class="ambox-text-div"><strong>Este artículo o sección sobre informática necesita ser <a href="/wiki/Ayuda:Wikificar" title="Ayuda:Wikificar">wikificado</a>, por favor, <a class="external text" href="https://es.wikipedia.org/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit">edítalo</a> para que cumpla con las <a href="/wiki/Wikipedia:Manual_de_estilo" title="Wikipedia:Manual de estilo">convenciones de estilo</a>.</strong></div><div class="hide-when-compact"><small><div>Este aviso fue puesto el 4 de abril de 2020.</div></small></div></td> </tr> </tbody></table> <div class="mw-heading mw-heading3"><h3 id="Organizaciones_/_sitios_web"><span id="Organizaciones_.2F_sitios_web"></span>Organizaciones / sitios web</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=36" title="Editar sección: Organizaciones / sitios web"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <ul><li><a rel="nofollow" class="external text" href="http://www.dnssec.net/">Sitio web de información de DNSSEC</a></li> <li><a rel="nofollow" class="external text" href="https://web.archive.org/web/20031008105543/http://www.ietf.org/html.charters/dnsext-charter.html">Extensiones DNS del grupo de trabajo IETF</a></li> <li><a rel="nofollow" class="external text" href="http://www.circleid.com/topics/dnssec/">Noticias y opiniones sobre temas relacionados con DNSSEC</a></li> <li><a rel="nofollow" class="external text" href="http://www.dnssec-tools.org">Proyecto DNSSEC-Tools</a></li> <li><a rel="nofollow" class="external text" href="http://www.dnssec-deployment.org">Iniciativa de coordinación de despliegue de DNSSEC</a></li> <li><a rel="nofollow" class="external text" href="http://www.root-dnssec.org">Equipo de despliegue de DNSSEC</a></li> <li><a rel="nofollow" class="external text" href="http://dns.icann.org/ksk/">Equipo de operaciones de DNS de ICANN</a></li> <li><a rel="nofollow" class="external text" href="https://www.lacnic.net/1144/1/lacnic/dnssec-faq">DNSSEC (FAQ) LACNIC</a></li></ul> <div class="mw-heading mw-heading3"><h3 id="Otros_documentos">Otros documentos</h3><span class="mw-editsection"><span class="mw-editsection-bracket">[</span><a href="/w/index.php?title=Domain_Name_System_Security_Extensions&action=edit&section=37" title="Editar sección: Otros documentos"><span>editar</span></a><span class="mw-editsection-bracket">]</span></span></div> <ul><li><a rel="nofollow" class="external text" href="http://www.circleid.com/posts/dnssec_deployment_and_dns_security_extensions/">Una Mirada Fundamental de DNSSEC, despliegue, y Extensiones de seguridad DNS</a> de Geoff Huston</li> <li><a rel="nofollow" class="external text" href="http://www.cs.columbia.edu/~smb/papers/dnshack.pdf">"Uso del Sistema de Nombres de Dominio para el sistema de Robos"</a> por Steve Bellovin, 1995</li> <li><a rel="nofollow" class="external text" href="https://web.archive.org/web/20080823112208/http://www.nlnetlabs.nl/dnssec/history.html">Una corta línea de tiempo de DNSSEC</a> por Miek Gieben</li> <li><a rel="nofollow" class="external text" href="https://wiki.archlinux.org/index.php/DNSSEC">Habilitando la resolución de nombres segura usando DNSSEC para diversas aplicaciones</a></li> <li><a rel="nofollow" class="external text" href="https://web.archive.org/web/20090228171850/http://www.nlnetlabs.nl/dnssec_howto/">DNSSEC Howto</a> por Olaf Kolkman (RIPE NCC / NLnet Labs)</li> <li><a rel="nofollow" class="external text" href="http://www.hznet.de/dns/dnssec-decix050916.pdf">Cómo garantizar su (inversa) de zona</a> por Holger Zuleger</li> <li><a rel="nofollow" class="external text" href="http://www.dwheeler.com/essays/easy-email-sec.html">seguridad para el correo electrónico más fácil en camino?</a> <a rel="nofollow" class="external text" href="https://web.archive.org/web/20201005041524/http://www.dwheeler.com/essays/easy-email-sec.html">Archivado</a> el 5 de octubre de 2020 en <a href="/wiki/Wayback_Machine" title="Wayback Machine">Wayback Machine</a>.</li> <li><a rel="nofollow" class="external text" href="https://www.denic.de/fileadmin/public/events/DNSSEC_testbed/zone-enumeration.pdf">"DNSSEC y la enumeración de zona"</a> por Marcos Sanz (DENIC)</li> <li><a rel="nofollow" class="external text" href="http://csrc.nist.gov/publications/nistpubs/">NIST Special Publication (SP) 800-81, Guía de implementación de Sistema de Nombres de Dominio (DNS) Seguro</a>, de mayo de 2006</li> <li><a rel="nofollow" class="external text" href="http://weis2006.econinfosec.org/docs/46.pdf">Bootstrapping la adopción de los protocolos de seguridad de Internet</a>, Andy Ozment y Stuart E. Schechter, 26 a 28 junio, 2006</li> <li><a rel="nofollow" class="external text" href="http://ccnso.icann.org/workinggroups/ccnso-iana-wg-dnssec-paper-04feb08.pdf">explicación de DNSSEC y firma de la Zona Raíz (Parte I)</a>, documento sobre DNSSEC por ccNSO, febrero de 2008</li> <li><span class="broken-link"><a rel="nofollow" class="external text" href="https://georgewbush-whitehouse.archives.gov/pcipb/cyberspace_strategy.pdf"><i>Estrategia Nacional de EEUU para asegurar el ciberespacio</i></a></span> <span class="plainlinks" style="background-color: var(--background-color-warning-subtle,lightyellow); color: var(--color-base, #202122); font-size:85%">(<a href="/wiki/Ayuda:C%C3%B3mo_recuperar_un_enlace_roto" title="Ayuda:Cómo recuperar un enlace roto">enlace roto</a> disponible en <a href="/wiki/Internet_Archive" title="Internet Archive">Internet Archive</a>; véase el <a rel="nofollow" class="external text" href="//web.archive.org/web/*/http://georgewbush-whitehouse.archives.gov/pcipb/cyberspace_strategy.pdf">historial</a>, la <a rel="nofollow" class="external text" href="//web.archive.org/web/1/http://georgewbush-whitehouse.archives.gov/pcipb/cyberspace_strategy.pdf">primera versión</a> y la <a rel="nofollow" class="external text" href="//web.archive.org/web/2/http://georgewbush-whitehouse.archives.gov/pcipb/cyberspace_strategy.pdf">última</a>).</span>, febrero de 2003</li> <li><a rel="nofollow" class="external text" href="http://www.cybertelecom.org/dns/security.htm">Cybertelecom:: Seguridad de DNS y Política de gobierno de Estados Unidos</a></li> <li><a rel="nofollow" class="external text" href="https://web.archive.org/web/20100505045636/http://secspider.cs.ucla.edu/">SecSpider herramienta para el rastreo de implementación de DNSSEC</a></li> <li><a rel="nofollow" class="external text" href="https://web.archive.org/web/20160305005513/http://stfr.org/">Petición para firmar la raíz</a></li> <li><a rel="nofollow" class="external text" href="https://web.archive.org/web/20120510071334/https://www.isc.org/files/DNSSEC_in_6_minutes.pdf">DNSSEC en 6 minutos por Alan Clegg, Internet Systems Consortium</a> (PDF-Datei, 315 kB)</li> <li><a rel="nofollow" class="external text" href="http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_13-2/132_dnssec.html">la implementación de DNSSEC</a> <a rel="nofollow" class="external text" href="https://web.archive.org/web/20150427140701/http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_13-2/132_dnssec.html">Archivado</a> el 27 de abril de 2015 en <a href="/wiki/Wayback_Machine" title="Wayback Machine">Wayback Machine</a>. Cisco Internet Protocol Journal</li> <li><a rel="nofollow" class="external text" href="https://web.archive.org/web/20130507185657/http://www.tldwithdnssec.se/">Lista de dominios de nivel superior (TLD) con DNSSEC implementado</a></li> <li><a rel="nofollow" class="external text" href="http://stats.research.icann.org/dns/tld_report/">Informe de ICANN de DNSSEC en TLDs</a> <a rel="nofollow" class="external text" href="https://web.archive.org/web/20190325014841/http://stats.research.icann.org/dns/tld_report/">Archivado</a> el 25 de marzo de 2019 en <a href="/wiki/Wayback_Machine" title="Wayback Machine">Wayback Machine</a>. (generado diariamente)</li></ul> <style data-mw-deduplicate="TemplateStyles:r161257576">.mw-parser-output .mw-authority-control{margin-top:1.5em}.mw-parser-output .mw-authority-control .navbox table{margin:0}.mw-parser-output .mw-authority-control .navbox hr:last-child{display:none}.mw-parser-output .mw-authority-control .navbox+.mw-mf-linked-projects{display:none}.mw-parser-output .mw-authority-control .mw-mf-linked-projects{display:flex;padding:0.5em;border:1px solid var(--border-color-base,#a2a9b1);background-color:var(--background-color-neutral,#eaecf0);color:var(--color-base,#202122)}.mw-parser-output .mw-authority-control .mw-mf-linked-projects ul li{margin-bottom:0}.mw-parser-output .mw-authority-control .navbox{border:1px solid var(--border-color-base,#a2a9b1);background-color:var(--background-color-neutral-subtle,#f8f9fa)}.mw-parser-output .mw-authority-control .navbox-list{border-color:#f8f9fa}.mw-parser-output .mw-authority-control .navbox th{background-color:#eeeeff}html.skin-theme-clientpref-night .mw-parser-output .mw-authority-control .mw-mf-linked-projects{border:1px solid var(--border-color-base,#72777d);background-color:var(--background-color-neutral,#27292d);color:var(--color-base,#eaecf0)}html.skin-theme-clientpref-night .mw-parser-output .mw-authority-control .navbox{border:1px solid var(--border-color-base,#72777d)!important;background-color:var(--background-color-neutral-subtle,#202122)!important}html.skin-theme-clientpref-night .mw-parser-output .mw-authority-control .navbox-list{border-color:#202122!important}html.skin-theme-clientpref-night .mw-parser-output .mw-authority-control .navbox th{background-color:#27292d!important}@media(prefers-color-scheme:dark){html.skin-theme-clientpref-os .mw-parser-output .mw-authority-control .mw-mf-linked-projects{border:1px solid var(--border-color-base,#72777d)!important;background-color:var(--background-color-neutral,#27292d)!important;color:var(--color-base,#eaecf0)!important}html.skin-theme-clientpref-os .mw-parser-output .mw-authority-control .navbox{border:1px solid var(--border-color-base,#72777d)!important;background-color:var(--background-color-neutral-subtle,#202122)!important}html.skin-theme-clientpref-os .mw-parser-output .mw-authority-control .navbox-list{border-color:#202122!important}html.skin-theme-clientpref-os .mw-parser-output .mw-authority-control .navbox th{background-color:#27292d!important}}</style><div class="mw-authority-control"><div role="navigation" class="navbox" aria-label="Navbox" style="width: inherit;padding:3px"><table class="hlist navbox-inner" style="border-spacing:0;background:transparent;color:inherit"><tbody><tr><th scope="row" class="navbox-group" style="width: 12%; text-align:center;"><a href="/wiki/Control_de_autoridades" title="Control de autoridades">Control de autoridades</a></th><td class="navbox-list navbox-odd" style="text-align:left;border-left-width:2px;border-left-style:solid;width:100%;padding:0px"><div style="padding:0em 0.25em"> <ul><li><b>Proyectos Wikimedia</b></li> <li><span style="white-space:nowrap;"><span typeof="mw:File"><a href="/wiki/Wikidata" title="Wikidata"><img alt="Wd" src="//upload.wikimedia.org/wikipedia/commons/thumb/f/ff/Wikidata-logo.svg/20px-Wikidata-logo.svg.png" decoding="async" width="20" height="11" class="mw-file-element" srcset="//upload.wikimedia.org/wikipedia/commons/thumb/f/ff/Wikidata-logo.svg/30px-Wikidata-logo.svg.png 1.5x, //upload.wikimedia.org/wikipedia/commons/thumb/f/ff/Wikidata-logo.svg/40px-Wikidata-logo.svg.png 2x" data-file-width="1050" data-file-height="590" /></a></span> Datos:</span> <span class="uid"><a href="https://www.wikidata.org/wiki/Q41609" class="extiw" title="wikidata:Q41609">Q41609</a></span></li> <li><span style="white-space:nowrap;"><span typeof="mw:File"><a href="/wiki/Wikimedia_Commons" title="Commonscat"><img alt="Commonscat" src="//upload.wikimedia.org/wikipedia/commons/thumb/4/4a/Commons-logo.svg/15px-Commons-logo.svg.png" decoding="async" width="15" height="20" class="mw-file-element" srcset="//upload.wikimedia.org/wikipedia/commons/thumb/4/4a/Commons-logo.svg/23px-Commons-logo.svg.png 1.5x, //upload.wikimedia.org/wikipedia/commons/thumb/4/4a/Commons-logo.svg/30px-Commons-logo.svg.png 2x" data-file-width="1024" data-file-height="1376" /></a></span> Multimedia:</span> <span class="uid"><span class="plainlinks"><a class="external text" href="https://commons.wikimedia.org/wiki/Category:DNSSEC">DNSSEC</a></span> / <span class="plainlinks"><a class="external text" href="https://commons.wikimedia.org/wiki/Special:MediaSearch?type=image&search=%22Q41609%22">Q41609</a></span></span></li></ul> <hr /> <ul><li><b>Identificadores</b></li> <li><span style="white-space:nowrap;"><a href="/wiki/Gemeinsame_Normdatei" title="Gemeinsame Normdatei">GND</a>:</span> <span class="uid"><a rel="nofollow" class="external text" href="https://d-nb.info/gnd/7854957-7">7854957-7</a></span></li></ul> </div></td></tr></tbody></table></div><div class="mw-mf-linked-projects hlist"> <ul><li><span style="white-space:nowrap;"><span typeof="mw:File"><a href="/wiki/Wikidata" title="Wikidata"><img alt="Wd" src="//upload.wikimedia.org/wikipedia/commons/thumb/f/ff/Wikidata-logo.svg/20px-Wikidata-logo.svg.png" decoding="async" width="20" height="11" class="mw-file-element" srcset="//upload.wikimedia.org/wikipedia/commons/thumb/f/ff/Wikidata-logo.svg/30px-Wikidata-logo.svg.png 1.5x, //upload.wikimedia.org/wikipedia/commons/thumb/f/ff/Wikidata-logo.svg/40px-Wikidata-logo.svg.png 2x" data-file-width="1050" data-file-height="590" /></a></span> Datos:</span> <span class="uid"><a href="https://www.wikidata.org/wiki/Q41609" class="extiw" title="wikidata:Q41609">Q41609</a></span></li> <li><span style="white-space:nowrap;"><span typeof="mw:File"><a href="/wiki/Wikimedia_Commons" title="Commonscat"><img alt="Commonscat" src="//upload.wikimedia.org/wikipedia/commons/thumb/4/4a/Commons-logo.svg/15px-Commons-logo.svg.png" decoding="async" width="15" height="20" class="mw-file-element" srcset="//upload.wikimedia.org/wikipedia/commons/thumb/4/4a/Commons-logo.svg/23px-Commons-logo.svg.png 1.5x, //upload.wikimedia.org/wikipedia/commons/thumb/4/4a/Commons-logo.svg/30px-Commons-logo.svg.png 2x" data-file-width="1024" data-file-height="1376" /></a></span> Multimedia:</span> <span class="uid"><span class="plainlinks"><a class="external text" href="https://commons.wikimedia.org/wiki/Category:DNSSEC">DNSSEC</a></span> / <span class="plainlinks"><a class="external text" href="https://commons.wikimedia.org/wiki/Special:MediaSearch?type=image&search=%22Q41609%22">Q41609</a></span></span></li></ul> </div></div>    </div><noscript><img src="https://login.wikimedia.org/wiki/Special:CentralAutoLogin/start?type=1x1" alt="" width="1" height="1" style="border: none; position: absolute;"></noscript> <div class="printfooter" data-nosnippet="">Obtenido de «<a dir="ltr" href="https://es.wikipedia.org/w/index.php?title=Domain_Name_System_Security_Extensions&oldid=159744986">https://es.wikipedia.org/w/index.php?title=Domain_Name_System_Security_Extensions&oldid=159744986</a>»</div></div> <div id="catlinks" class="catlinks" data-mw="interface"><div id="mw-normal-catlinks" class="mw-normal-catlinks"><a href="/wiki/Especial:Categor%C3%ADas" title="Especial:Categorías">Categorías</a>: <ul><li><a href="/wiki/Categor%C3%ADa:Domain_Name_System" title="Categoría:Domain Name System">Domain Name System</a></li><li><a href="/wiki/Categor%C3%ADa:Criptograf%C3%ADa_de_clave_p%C3%BAblica" title="Categoría:Criptografía de clave pública">Criptografía de clave pública</a></li><li><a href="/wiki/Categor%C3%ADa:DNSSEC" title="Categoría:DNSSEC">DNSSEC</a></li><li><a href="/wiki/Categor%C3%ADa:Gesti%C3%B3n_de_claves" title="Categoría:Gestión de claves">Gestión de claves</a></li></ul></div><div id="mw-hidden-catlinks" class="mw-hidden-catlinks mw-hidden-cats-hidden">Categorías ocultas: <ul><li><a href="/wiki/Categor%C3%ADa:Wikipedia:P%C3%A1ginas_con_referencias_con_par%C3%A1metros_obsoletos" title="Categoría:Wikipedia:Páginas con referencias con parámetros obsoletos">Wikipedia:Páginas con referencias con parámetros obsoletos</a></li><li><a href="/wiki/Categor%C3%ADa:Wikipedia:Art%C3%ADculos_con_enlaces_externos_rotos" title="Categoría:Wikipedia:Artículos con enlaces externos rotos">Wikipedia:Artículos con enlaces externos rotos</a></li><li><a href="/wiki/Categor%C3%ADa:Wikipedia:P%C3%A1ginas_con_enlaces_m%C3%A1gicos_de_RFC" title="Categoría:Wikipedia:Páginas con enlaces mágicos de RFC">Wikipedia:Páginas con enlaces mágicos de RFC</a></li><li><a href="/wiki/Categor%C3%ADa:Wikipedia:Art%C3%ADculos_con_pasajes_que_requieren_referencias" title="Categoría:Wikipedia:Artículos con pasajes que requieren referencias">Wikipedia:Artículos con pasajes que requieren referencias</a></li><li><a href="/wiki/Categor%C3%ADa:Wikipedia:Wikificar" title="Categoría:Wikipedia:Wikificar">Wikipedia:Wikificar</a></li><li><a href="/wiki/Categor%C3%ADa:Wikipedia:Wikificar_inform%C3%A1tica" title="Categoría:Wikipedia:Wikificar informática">Wikipedia:Wikificar informática</a></li><li><a href="/wiki/Categor%C3%ADa:Wikipedia:Art%C3%ADculos_con_identificadores_GND" title="Categoría:Wikipedia:Artículos con identificadores GND">Wikipedia:Artículos con identificadores GND</a></li></ul></div></div> </div> </main> </div> <div class="mw-footer-container"> <footer id="footer" class="mw-footer" > <ul id="footer-info"> <li id="footer-info-lastmod"> Esta página se editó por última vez el 27 abr 2024 a las 15:50.</li> <li id="footer-info-copyright">El texto está disponible bajo la <a href="/wiki/Wikipedia:Texto_de_la_Licencia_Creative_Commons_Atribuci%C3%B3n-CompartirIgual_4.0_Internacional" title="Wikipedia:Texto de la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional">Licencia Creative Commons Atribución-CompartirIgual 4.0</a>; pueden aplicarse cláusulas adicionales. Al usar este sitio aceptas nuestros <a class="external text" href="https://foundation.wikimedia.org/wiki/Policy:Terms_of_Use/es">términos de uso</a> y nuestra <a class="external text" href="https://foundation.wikimedia.org/wiki/Policy:Privacy_policy/es">política de privacidad</a>.<br />Wikipedia® es una marca registrada de la <a rel="nofollow" class="external text" href="https://wikimediafoundation.org/es/">Fundación Wikimedia</a>, una organización sin ánimo de lucro.</li> </ul> <ul id="footer-places"> <li id="footer-places-privacy"><a href="https://foundation.wikimedia.org/wiki/Special:MyLanguage/Policy:Privacy_policy/es">Política de privacidad</a></li> <li id="footer-places-about"><a href="/wiki/Wikipedia:Acerca_de">Acerca de Wikipedia</a></li> <li id="footer-places-disclaimers"><a href="/wiki/Wikipedia:Limitaci%C3%B3n_general_de_responsabilidad">Limitación de responsabilidad</a></li> <li id="footer-places-wm-codeofconduct"><a href="https://foundation.wikimedia.org/wiki/Special:MyLanguage/Policy:Universal_Code_of_Conduct">Código de conducta</a></li> <li id="footer-places-developers"><a href="https://developer.wikimedia.org">Desarrolladores</a></li> <li id="footer-places-statslink"><a href="https://stats.wikimedia.org/#/es.wikipedia.org">Estadísticas</a></li> <li id="footer-places-cookiestatement"><a href="https://foundation.wikimedia.org/wiki/Special:MyLanguage/Policy:Cookie_statement/es">Declaración de cookies</a></li> <li id="footer-places-mobileview"><a href="//es.m.wikipedia.org/w/index.php?title=Domain_Name_System_Security_Extensions&mobileaction=toggle_view_mobile" class="noprint stopMobileRedirectToggle">Versión para móviles</a></li> </ul> <ul id="footer-icons" class="noprint"> <li id="footer-copyrightico"><a href="https://wikimediafoundation.org/" class="cdx-button cdx-button--fake-button cdx-button--size-large cdx-button--fake-button--enabled"><img src="/static/images/footer/wikimedia-button.svg" width="84" height="29" alt="Wikimedia Foundation" loading="lazy"></a></li> <li id="footer-poweredbyico"><a href="https://www.mediawiki.org/" class="cdx-button cdx-button--fake-button cdx-button--size-large cdx-button--fake-button--enabled"><img src="/w/resources/assets/poweredby_mediawiki.svg" alt="Powered by MediaWiki" width="88" height="31" loading="lazy"></a></li> </ul> </footer> </div> </div> </div> <div class="vector-settings" id="p-dock-bottom"> <ul></ul> </div><script>(RLQ=window.RLQ||[]).push(function(){mw.config.set({"wgHostname":"mw-web.codfw.main-f69cdc8f6-4d6jn","wgBackendResponseTime":154,"wgPageParseReport":{"limitreport":{"cputime":"0.536","walltime":"0.676","ppvisitednodes":{"value":4298,"limit":1000000},"postexpandincludesize":{"value":76290,"limit":2097152},"templateargumentsize":{"value":5927,"limit":2097152},"expansiondepth":{"value":23,"limit":100},"expensivefunctioncount":{"value":4,"limit":500},"unstrip-depth":{"value":0,"limit":20},"unstrip-size":{"value":74528,"limit":5000000},"entityaccesscount":{"value":3,"limit":400},"timingprofile":["100.00% 527.604 1 -total"," 51.34% 270.891 1 Plantilla:Listaref"," 27.00% 142.478 1 Plantilla:Control_de_autoridades"," 20.70% 109.220 13 Plantilla:Cita_web"," 7.77% 41.006 1 Plantilla:Wikificar"," 7.20% 37.999 1 Plantilla:Aviso"," 5.89% 31.054 2 Plantilla:Problemas_artículo/validar"," 4.88% 25.731 8 Plantilla:Cite_web"," 4.04% 21.335 12 Plantilla:Str_mid"," 3.95% 20.861 2 Plantilla:Cita"]},"scribunto":{"limitreport-timeusage":{"value":"0.216","limit":"10.000"},"limitreport-memusage":{"value":2890317,"limit":52428800}},"cachereport":{"origin":"mw-web.codfw.main-84d8f4b96-9vvz8","timestamp":"20241115200404","ttl":2592000,"transientcontent":false}}});});</script> <script type="application/ld+json">{"@context":"https:\/\/schema.org","@type":"Article","name":"Domain Name System Security Extensions","url":"https:\/\/es.wikipedia.org\/wiki\/Domain_Name_System_Security_Extensions","sameAs":"http:\/\/www.wikidata.org\/entity\/Q41609","mainEntity":"http:\/\/www.wikidata.org\/entity\/Q41609","author":{"@type":"Organization","name":"Colaboradores de los proyectos Wikimedia"},"publisher":{"@type":"Organization","name":"Wikimedia Foundation, Inc.","logo":{"@type":"ImageObject","url":"https:\/\/www.wikimedia.org\/static\/images\/wmf-hor-googpub.png"}},"datePublished":"2012-05-07T19:12:52Z","dateModified":"2024-04-27T15:50:38Z"}</script> </body> </html>