¿Por qué la mayoría de dominios sigue sin usar DNSSEC?

**Tres razones.** Primero, los **registradores** lo hacen incómodo: en muchos paneles aún hay que copiar manualmente un registro DS entre tu DNS host y tu registrador, con las rotaciones de claves a mano. Segundo, **riesgo operativo**: si configuras mal DNSSEC el dominio se rompe **solo para usuarios en resolvers validadores** (alrededor del 30% global), que es el peor tipo de bug porque es invisible para quien hizo el cambio. Tercero, el **caso de negocio es difuso**: los usuarios finales no ven DNSSEC, ningún navegador muestra un candado por él, así que nunca entra en la checklist de lanzamiento. La adopción está en torno al **5-10% de .com** según qué estadísticas leas.

¿Qué es la cadena de confianza, exactamente?

Una cadena de **firmas** que va desde tu dominio hasta una clave en la que todos confían. Tu zona firma sus registros con una **ZSK** (Zone Signing Key). La propia ZSK la firma la **KSK** (Key Signing Key). El hash de la KSK se publica como **registro DS** en la zona padre (`.com`). La ZSK de `.com` firma ese registro DS, la KSK de `.com` se hashea en un registro DS en la **raíz**, y la **KSK de la raíz** es el ancla de confianza global que viene con cada resolver. Rompe un eslabón y la cadena entera se cae para ese dominio.

KSK vs ZSK: ¿cuál es la diferencia?

La **ZSK (Zone Signing Key)** firma los registros reales de tu zona (A, MX, TXT, ...). Se rota con frecuencia (cada pocas semanas o meses) porque tiene mucho uso. La **KSK (Key Signing Key)** firma solo el conjunto DNSKEY. Se rota rara vez (anualmente o menos) porque cada rotación requiere actualizar el **registro DS en el padre**, que es un baile de TTL de varios días. La separación existe para que puedas rotar la ZSK ruidosa sin tocar el registrador. **Flags 256 = ZSK, 257 = KSK** en el registro DNSKEY.

¿Por qué importan tanto los registros DS en el padre?

Un registro DS es **lo único que la zona padre publica sobre tus claves DNSSEC**. Es un hash de tu KSK, firmado por el padre. Cuando un resolver valida tu dominio camina **de arriba a abajo**: confía en la raíz, el DS de la raíz prueba que puede confiar en `.com`, el DS de `.com` prueba que puede confiar en `ejemplo.com`. **Sin DS en el padre = sin cadena = tu DNSKEY se ignora** aunque sea perfectamente válida. Es la causa más común de un veredicto "DNSSEC roto": alguien activó DNSSEC en el host DNS pero nunca pegó el DS en el registrador.

¿Cómo explotan los atacantes un dominio sin DNSSEC?

**Dos ataques clásicos.** (1) **Envenenamiento de caché**: un atacante carrera una respuesta falsificada hacia un resolver antes de que llegue la legítima, inyectando una IP falsa para, digamos, tu banco. Sin DNSSEC el resolver no tiene forma de distinguir las respuestas. La divulgación de Dan Kaminsky en 2008 lo hizo práctico a escala de internet. (2) **Suplantación DNS on-path**: cualquiera que pueda interceptar tráfico DNS (wifi pirata, ISP, Estado-nación) puede sustituir su propia respuesta. DNSSEC hace que ambos ataques fallen de forma cerrada: la firma no verifica, el resolver devuelve SERVFAIL, ninguna IP. El atacante puede DoSear el dominio pero no puede suplantarlo.

La raíz y .com están firmados, ¿por qué hay tan pocos dominios protegidos?

Porque **firmar el padre es necesario pero no suficiente**. Que la raíz y `.com` estén firmados solo significa que **pueden avalar tu registro DS** si lo publicas. Si tu dominio no publica una DNSKEY y un DS coincidente, la cadena se detiene en `.com` y tus registros viajan **sin protección** el último salto. Hoy en día alrededor del 95% de dominios `.com` está exactamente en ese estado: la autopista hasta tu salida está firmada, pero la rampa de salida no.

¿DNSSEC ralentiza la resolución DNS?

**Un poco, no lo suficiente para que les importe a los usuarios.** Un resolver validador hace consultas extra (para DNSKEY y RRSIG) y algo de matemática de firmas. En caché fría añade **20-80 ms**. En caché caliente, básicamente cero. Los paquetes de respuesta son más grandes (las firmas son pesadas), lo que históricamente causó problemas con middleboxes antiguos que descartaban DNS de más de 512 bytes, pero hoy **EDNS0** y DNS sobre TCP / TLS / HTTPS lo gestionan bien. Algoritmos modernos como **ECDSAP256SHA256** y **ED25519** producen firmas **5 a 10 veces más pequeñas** que RSA2048, lo que arregló la mayoría de quejas por tamaño.

RSASHA256 vs ECDSAP256SHA256 vs ED25519: ¿qué algoritmo debería usar?

**ECDSAP256SHA256 (algoritmo 13)** es el valor por defecto actual para nuevos despliegues: claves pequeñas (256 bits), firmas pequeñas, soporte universal en resolvers. **ED25519 (algoritmo 15)** es aún más pequeño y rápido, pero una pequeña minoría de resolvers antiguos sigue cayendo a inseguro con él (trata la zona como sin firmar), así que es buena opción solo si no necesitas compatibilidad legacy. **RSASHA256 (algoritmo 8)** sigue dominando el tráfico real (las claves de la zona `.com` lo usan), es sólido como una roca pero las firmas son 5 a 10 veces más grandes. Evita **RSASHA1 (5, 7)** y **RSAMD5 (1)**: están obsoletos y los resolvers empiezan a rechazarlos directamente.

Mi validador dice "Cadena rota". ¿Cómo soluciono?

**Cinco cosas que comprobar, en orden.** (1) **¿Coincide el keyTag del DS en el padre con un keyTag de KSK en el hijo?** Un desajuste es el 80% de las roturas, causado normalmente por rotar la KSK sin actualizar el registrador. (2) **¿Están caducadas las firmas (RRSIG)?** Las firmas tienen una ventana de validez, normalmente de 7 a 30 días. Si tu firmador dejó de funcionar, las firmas caducan y la cadena se rompe a medianoche. (3) **¿Has rotado algoritmos recientemente?** Pasar de RSA a ECDSA requiere doble firma durante una ventana de TTL. (4) **Comprueba que el campo algoritmo padre en el registro DS** coincide con lo que realmente firma tu zona. (5) Usa **dnsviz.net** para un traceado más profundo una vez esta herramienta te diga qué nivel está roto.

Validador de cadena DNSSEC - gratis

Qué hace esta herramienta

Esta herramienta recorre la cadena de confianza DNSSEC de cualquier dominio y te muestra, nivel a nivel, si está correctamente firmado. Obtienes la raíz (.), el TLD (como `.com`) y tu dominio, cada uno con sus registros DNSKEY, el registro DS en la zona padre, el algoritmo en uso (RSASHA256, ECDSAP256, ED25519, ...) y el key tag.

La comprobación criptográfica real la hace el resolver validador de Cloudflare 1.1.1.1: configuramos el resolver para que verifique firmas y leemos su flag AD (Authenticated Data). Verde significa firmado y validado, amarillo significa que el nivel simplemente no usa DNSSEC, rojo significa que las firmas o los registros DS no coinciden y la cadena está rota.

Cómo usarla

Escribe un dominio como `cloudflare.com` (sin `https://`, sin ruta).
Pulsa Validar DNSSEC. Consultamos DoH para DNSKEY en cada nivel y DS en el padre.
Lee la tarjeta de cadena de arriba abajo: raíz, luego TLD, luego tu dominio. Cada tarjeta va con un color.
Verde = firmado y autenticado. Amarillo = no hay DNSSEC en este nivel (no es un error, simplemente está sin proteger). Rojo = cadena rota, los clientes pueden rechazar el dominio.
Inspecciona las tablas DS / DNSKEY: los key tags deben coincidir entre una DNSKEY hija y el DS del padre. El algoritmo y el tipo de digest indican qué cripto se usa.
Prueba los chips de ejemplo: cloudflare.com, paypal.com, ietf.org están completamente firmados. example.com está firmado pero su subzona no, así que cae en "parcial".

Cuándo es útil

Seis sitios donde un validador de cadena DNSSEC supera leer la salida cruda de `dig +trace +dnssec`:

Auditar un dominio en el que acabas de activar DNSSEC. Pulsaste el interruptor en tu registrador, pegaste el registro DS en el padre, ahora necesitas confirmar que ambos lados coinciden. La visualización de la cadena hace evidente en segundos un desajuste de key tags.
Depurar errores de "DNSSEC validation failure". Los usuarios finales ven un `SERVFAIL` repentino solo en resolvers validadores (Cloudflare, Google, Quad9). La tarjeta roja señala el nivel que se rompió y el mensaje explica por qué.
Checklist previo al lanzamiento para banca, administración y cualquier dominio de alta confianza. Un DNSSEC completamente firmado bloquea toda una clase de ataques (envenenamiento de caché, suplantación DNS on-path). Confirma antes de salir a producción.
Comparar dos dominios en paralelo. Lanza `tubanco.es` contra un competidor y mira quién despliega DNSSEC realmente.
Verificar una rotación en la zona padre. Rotaste la KSK en el registro, enviaste un DS nuevo, quieres confirmar que terminó la propagación y el flag AD ha vuelto a true.
Enseñar DNSSEC. La cadena de tres niveles (raíz, TLD, SLD) más los registros por nivel es la forma más limpia de explicar delegación y confianza a alguien que nunca lo ha visto.

Herramientas relacionadas: consulta DNS, consulta DNS inverso PTR, verificador DNS de email, consulta WHOIS, generador de claves DKIM.

Preguntas y respuestas

DNSSEC es un conjunto de extensiones que añade firmas criptográficas a las respuestas DNS. Una consulta DNS normal devuelve "ejemplo.com está en 1.2.3.4" sin forma de demostrar que viene realmente del servidor DNS auténtico de ejemplo.com. DNSSEC adjunta una firma a esa respuesta, más una cadena de confianza que va hasta la zona raíz, para que un resolver validador pueda confirmar que la IP fue publicada por el propietario legítimo y nadie la manipuló en tránsito. Es una defensa contra el envenenamiento de caché y la suplantación DNS on-path, no contra la toma de control del sitio ni el robo de credenciales.

Qué hace esta herramienta

Cómo usarla

Escribe un dominio como `cloudflare.com` (sin `https://`, sin ruta).

Pulsa Validar DNSSEC. Consultamos DoH para DNSKEY en cada nivel y DS en el padre.

Lee la tarjeta de cadena de arriba abajo: raíz, luego TLD, luego tu dominio. Cada tarjeta va con un color.

Verde = firmado y autenticado. Amarillo = no hay DNSSEC en este nivel (no es un error, simplemente está sin proteger). Rojo = cadena rota, los clientes pueden rechazar el dominio.

Inspecciona las tablas DS / DNSKEY: los key tags deben coincidir entre una DNSKEY hija y el DS del padre. El algoritmo y el tipo de digest indican qué cripto se usa.

Prueba los chips de ejemplo: cloudflare.com, paypal.com, ietf.org están completamente firmados. example.com está firmado pero su subzona no, así que cae en "parcial".

Cuándo es útil

Seis sitios donde un validador de cadena DNSSEC supera leer la salida cruda de `dig +trace +dnssec`:

Auditar un dominio en el que acabas de activar DNSSEC. Pulsaste el interruptor en tu registrador, pegaste el registro DS en el padre, ahora necesitas confirmar que ambos lados coinciden. La visualización de la cadena hace evidente en segundos un desajuste de key tags.
Depurar errores de "DNSSEC validation failure". Los usuarios finales ven un `SERVFAIL` repentino solo en resolvers validadores (Cloudflare, Google, Quad9). La tarjeta roja señala el nivel que se rompió y el mensaje explica por qué.
Checklist previo al lanzamiento para banca, administración y cualquier dominio de alta confianza. Un DNSSEC completamente firmado bloquea toda una clase de ataques (envenenamiento de caché, suplantación DNS on-path). Confirma antes de salir a producción.
Comparar dos dominios en paralelo. Lanza `tubanco.es` contra un competidor y mira quién despliega DNSSEC realmente.
Verificar una rotación en la zona padre. Rotaste la KSK en el registro, enviaste un DS nuevo, quieres confirmar que terminó la propagación y el flag AD ha vuelto a true.
Enseñar DNSSEC. La cadena de tres niveles (raíz, TLD, SLD) más los registros por nivel es la forma más limpia de explicar delegación y confianza a alguien que nunca lo ha visto.

Herramientas relacionadas: consulta DNS, consulta DNS inverso PTR, verificador DNS de email, consulta WHOIS, generador de claves DKIM.

Preguntas y respuestas

Validador de cadena DNSSEC

Qué hace esta herramienta

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Consulta DNS

Lookup DNS inverso (PTR)

Comprobador de DNS de correo (SPF/DKIM/DMARC)

Consulta WHOIS

Generador de par de claves DKIM

Validador de cadena DNSSEC

Qué hace esta herramienta

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Consulta DNS

Lookup DNS inverso (PTR)

Comprobador de DNS de correo (SPF/DKIM/DMARC)

Consulta WHOIS

Generador de par de claves DKIM