Global DNSKEY Validation Tool
El registro de recursos DNSKEY es la base criptográfica de DNSSEC (Domain Name System Security Extensions). El protocolo DNS central es inherentemente no cifrado y sin estado (stateless), lo que lo hace altamente susceptible al envenenamiento de caché y la falsificación Man-in-the-Middle (MitM). DNSSEC resuelve esto adjuntando firmas matemáticas y criptográficas a las respuestas DNS. El registro DNSKEY actúa como el repositorio de claves públicas; mantiene las claves públicas codificadas en Base64 que los resolvers remotos utilizan para verificar que un payload de registros A o MX se originó genuinamente en el nameserver autoritativo y no fue manipulado en tránsito.
La Arquitectura ZSK y KSK
Una implementación estándar de DNSSEC despliega dos claves distintas para equilibrar la seguridad con la eficiencia operativa. La Zone Signing Key (ZSK) es una clave criptográfica más pequeña y de menor carga utilizada para firmar rápidamente los registros individuales (A, TXT, CNAME) dentro de la zona. Debido a que maneja la firma en bloque, la ZSK se rota con frecuencia (por ejemplo, cada 30 días) para prevenir el descifrado por fuerza bruta. La Key Signing Key (KSK) es una clave mucho más fuerte y fuertemente protegida. Su único propósito es firmar la propia ZSK. Al separar estas claves, los administradores pueden rotar la ZSK localmente en el nameserver sin necesidad de comunicarse constantemente con el registro TLD padre.
La Cadena de Confianza y los Registros DS
Publicar un registro DNSKEY en tu zona es inútil a menos que haya una ruta de confianza verificable que se extienda hasta la raíz de internet. Una vez que la KSK genera una firma, un hash matemático de esa KSK se envía al registrador de dominio como un registro DS (Delegation Signer). El registrador publica este registro DS en la zona TLD padre (como el registro .com). Cuando un resolver recursivo consulta tu dominio, obtiene el registro DS del padre para autenticar la KSK, usa la KSK para autenticar la ZSK, y usa la ZSK para autenticar la dirección IP final. Si se rompe algún enlace en esta cadena criptográfica, la validación falla por completo.
Cortes Catastróficos por SERVFAIL
Gestionar registros DNSKEY requiere precisión absoluta. DNSSEC está diseñado para un "fail closed" (fallo cerrado). Si un script automatizado rota la ZSK en el servidor pero el registro DNSKEY público correspondiente no se actualiza en la zona global, las firmas criptográficas no coincidirán. Los ISPs y resolvers públicos como Google (8.8.8.8) y Cloudflare (1.1.1.1) interpretarán esto como un ciberataque activo. Descartarán instantáneamente la respuesta DNS y devolverán un estado fatal SERVFAIL al cliente, borrando efectivamente el dominio de internet hasta que las claves se sincronicen manualmente o se deshabilite DNSSEC por completo a nivel del registrador.