DNSSEC (Extensiones de Seguridad del Sistema de Nombres de Dominio) firma criptográficamente registros DNS para que resolutores puedan verificar que no han sido alterados. Añade una cadena de confianza desde la raíz hacia tu zona.
Sin DNSSEC, un atacante que controla el resolutor DNS de tu ISP o se sienta en tu red puede redirigir tráfico a cualquier lugar. DNSSEC no oculta tu tráfico ni detiene que consultas se registren—solo prueba que las respuestas son legítimas. Tu registrador y operador de servidor de nombres ambos necesitan soportarlo; la mayoría lo hace ahora.
Habilitar DNSSEC requiere generar una clave de firma, crear registros DS en tu registro e impulsar actualizaciones cuando tu clave de firma rota. Añade fricción operacional. Algunos registradores y proveedores de hosting lo manejan transparentemente; otros te hacen administrarlo por ti. Configuración incorrecta rompe tu zona completamente.
Es teatro de seguridad si tu registrador se ve hackeado o tu servidor de nombres se compromete aguas arriba. Pero contra ataques de red pasivos y envenenamiento de caché DNS, funciona. Cada vez más recomendado para operaciones sensibles: dominios de periodista, crypto exchanges, cualquier cosa que no pueda permitirse un ataque de redirección.