Validación DNSSEC/TLSA en los principales navegadores web

DNSSEC/TLSA Validator es un complemento compatible con los principales navegadores web como Firefox/Iceweasel, Chrome/Chromium, Internet Explorer, Opera y Safari que nos permite añadir una capa de validación de seguridad más a la navegación web.

La extensión realiza una consulta a los servidores DNS que estemos utilizando para comprobar si existen registros DNSSEC y TLSA para un dominio dado. Cuando visitemos un web, veremos dos iconos en la parte superior derecha de la barra de navegación donde introducimos la URL. Primero se realiza una comprobación de registros securizados con DNSSEC (icono llave) y posteriormente si es satisfactorio, se realiza una comprobación TLSA (icono candado):

Validación DNSSEC

Validación DNSSEC

Validación TLSA

Validación TLSA

En Firefox, donde lo he probado tenéis además disponibles algunas opciones para personalizar el comportamiento de la extensión:

Opciones del complemento en Firefox

Opciones del complemento en Firefox

¿Qué conseguimos validando esta capa de seguridad? DNSSEC utiliza toda una cadena de confianza entre registros DNS hasta la raíz de dominio, de manera que certifica que ese dominio en concreto que estamos visitando está asociado a la IP correcta (y viceversa, que a esa IP le corresponde ese dominio) protegiéndonos así de envenenamientos de caché y spoofing DNS, dos de las principales vulnerabilidades de este protocolo.

Mencionar que el complemento si bien puede tomar medidas como terminar una conexión HTTPS en caso de no validar correctamente TLSA, no deja de ser una herramienta de validación/consulta a modo informativo y nosotros tendremos que decidir en última instancia qué acción tomar (por ejemplo, cambiar las DNS que utilizamos). Al fin y al cabo, las extensiones de seguridad DNSSEC corren del lado del servidor DNS.