El Sistema de Nombres de Dominio (DNS) se remonta a principios de la década de 1980. A pesar de su antigüedad, fue creciendo notablemente y sigue siendo un pilar fundamental de la Internet actual. Sin embargo, la forma en que el DNS delega la autoridad administrativa de un dominio principal (como .org) a un dominio secundario (como example.org) no cambió desde que se creó el DNS. Una próxima mejora en el DNS cambiará la forma en que se indica la delegación y permitirá nuevas funcionalidades, como mejoras adicionales en cuanto a seguridad.
La introducción de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) fue un hito importante, pero esta medida no permite encriptar el tráfico del DNS. Históricamente, los datos en el DNS se consideraban públicos y se daba por sentado que las consultas no revelaban demasiada información sobre los usuarios. Esta forma de pensar resultó ser demasiado simplista. En realidad, el tráfico sin encriptar en el DNS permite tanto la vigilancia como la manipulación.
Encriptar la comunicación entre aplicaciones y resolutores es sencillo, pero hacerlo entre resolutores y servidores autoritativos plantea un dilema: ¿cómo conoce un resolutor los parámetros de seguridad necesarios antes de conectarse?
En la actualidad, la única información que un servidor autoritativo proporciona para una delegación son los nombres de los servidores responsables del siguiente nivel en la jerarquía y, con DNSSEC, un indicador de la clave criptográfica necesaria para validar las respuestas.
Una nueva mejora del DNS que está desarrollando el Grupo de Trabajo en Ingeniería de Internet (IETF) permite incluir información adicional como parte de la delegación. En el caso del DNS encriptado, esa información adicional podría incluir los parámetros relacionados con la criptografía y el protocolo que un resolutor puede utilizar para establecer un canal seguro con los servidores de nombres delegados. Realizar un cambio tan significativo en el funcionamiento de la delegación del DNS requiere una buena dosis de ingeniería de protocolos a la antigua usanza. De hecho, este trabajo lo está llevando a cabo el IETF dentro del Grupo de Trabajo DELEG.
No es una tarea sencilla. Estas nuevas extensiones de delegación (denominadas “DELEG” en su forma abreviada) requieren modificaciones en los fundamentos del protocolo del DNS, al tiempo que deben seguir siendo compatibles con la base instalada de tal manera que permitan una implementación gradual. Además, estas nuevas extensiones de delegación deben estar preparadas para el futuro, de modo que se puedan incorporar fácilmente elementos adicionales sin necesidad de modificar el protocolo.
Para que el DNS siga constituyendo una base resiliente y fiable para Internet, su modelo de delegación debe evolucionar a la par del creciente nivel de amenazas. Ampliar las delegaciones para transmitir la información necesaria para la comunicación encriptada entre el resolutor y el servidor autoritativo es el siguiente paso lógico. La extensión del protocolo DELEG mantiene las fortalezas del sistema existente, a la vez que hace posible un futuro con mayor seguridad y flexibilidad.
El trabajo que está llevando a cabo el Grupo de Trabajo DELEG ofrece una oportunidad para modernizar una de las partes más antiguas de la arquitectura del DNS. Al adoptar estos cambios, la comunidad del DNS puede asegurarse de que el protocolo siga siendo robusto no solo para las aplicaciones actuales, sino también para las próximas generaciones de tecnologías y usuarios.

