TL;DR — DNSSEC detiene el secuestro de DNS firmando criptográficamente tus registros de dominio. Habilítalo en tres clics en bunkerdomains, publica los registros DS en tu registry, listo.
Tu dominio se cachea en todas partes—resolvers de ISP, DNS público, edges de CDN. Sin DNSSEC, cualquiera entre tú y tus usuarios puede reescribir esas respuestas. Redirigen tu sitio a un clon de phishing, interceptan email o distribuyen malware. DNSSEC hace que ese ataque sea detectable.
Qué hace realmente DNSSEC
DNS se construyó en 1983 sin autenticación. Un resolver pregunta "¿dónde está example.com?" y confía en cualquier respuesta que regrese. DNSSEC agrega firmas digitales a cada registro DNS. Las firmas suben hasta la zona raíz, que está firmada por la clave raíz de ICANN. Si alguien manipula tus registros en tránsito, la firma falla la validación. El resolver descarta la respuesta falsa.
Importa para:
- Objetivos de alto valor: Exchanges de crypto, plataformas activistas, mercados de darknet, publicaciones de whistleblowers
- Integridad de email: Los registros SPF/DKIM no pueden ser suplantados si DNSSEC está activo
- Bootstrap HTTPS: DANE (validación de certificado TLS vía DNS) requiere DNSSEC
- Resistencia a censura: Más difícil redirigir silenciosamente tu dominio sin romper firmas
DNSSEC no encripta consultas DNS—usa DoH o DoT para eso. Autentica respuestas. Problema diferente, herramienta diferente.
Cómo funciona la cadena de firmas
Tus nameservers firman la zona con una clave privada (ZSK—Zone Signing Key). Esa clave es firmada por otra clave (KSK—Key Signing Key). El hash de tu clave pública KSK se convierte en un registro DS, que publicas en el registry. El registry firma ese registro DS. El operador de TLD firma los registros del registry. La raíz firma la TLD. Los validadores caminan esta cadena desde la raíz hasta tu dominio.
Si cualquier eslabón se rompe—firma expirada, registro DS faltante, clave rotada sin actualizar el registry—la validación falla. Validadores estrictos tratan esto como "dominio no existe". Sin fallback a sin firmar. Ese es el punto.
Habilitar DNSSEC en bunkerdomains
Inicia sesión en tu dashboard. Ve a Domains → selecciona tu dominio → DNS Settings → pestaña DNSSEC. Haz clic en Enable DNSSEC. Generamos un par de claves, firmamos tu zona y mostramos el registro DS.
Verás algo como:
example.com. 3600 IN DS 12345 13 2 A1B2C3D4E5F6...
Cuatro campos importan:
| Campo | Significado |
|---|---|
| 12345 | Key Tag (identificador para esta KSK) |
| 13 | Algorithm (13 = ECDSA P-256 con SHA-256) |
| 2 | Digest Type (2 = SHA-256) |
| A1B2C3… | Digest (hash de tu clave pública) |
Copia el registro DS completo. Necesitas enviarlo a tu registry.
Publicar el registro DS
La mayoría de TLDs te dejan agregar registros DS a través del panel de control del registrar o comandos EPP. En bunkerdomains:
- Ve a Domain Management → DNSSEC Records
- Pega el registro DS (o ingresa los campos individualmente si el formulario los divide)
- Haz clic en Submit to Registry
Lo enviamos vía EPP. La propagación toma de 15 minutos a 24 horas dependiendo del TLD. .com/.net son rápidos. Algunos ccTLDs cachean más tiempo.
Selección de algoritmo
Defaulteamos a ECDSA P-256 (algoritmo 13). Claves más pequeñas, validación más rápida, ampliamente soportado desde 2013. Validadores heredados que fallan con ECDSA son raros y rotos. Si necesitas RSA para compatibilidad con infraestructura antigua, contacta soporte—generaremos claves RSA-SHA256 manualmente, pero estás resolviendo un problema que no debería existir en 2025.
Validación y resolución de problemas
Después de publicar el registro DS, verifica propagación:
dig +dnssec example.com
Busca el flag ad (authenticated data) en el encabezado de respuesta. Si está presente, el resolver validó la cadena. Si falta, o DNSSEC no está activo aún o algo está roto.
Fallos comunes:
- Registro DS no publicado: El registry aún no ha procesado tu envío. Espera o verifica sus logs.
- Firma expirada: Auto-renovamos firmas 7 días antes de expiración. Si pausaste el dominio o apuntaste nameservers a otro lado, las firmas se pudren.
- Zona padre sin firmar: Algunos TLDs aún no soportan DNSSEC (raro pero real). Verifica el estado DNSSEC del TLD antes de habilitar.
- Nameserver mismatch: Si usas nameservers personalizados, asegúrate de que estén firmando la zona. Los nameservers de bunkerdomains manejan esto automáticamente.
Usa DNSViz para visualizar la cadena. Cajas rojas significan firmas rotas. Verde significa validado. Muestra exactamente dónde falla la cadena.
Rotación de claves
Rotamos ZSKs cada 90 días. KSK rota anualmente. No tocas nada—nuestra automatización maneja firmas y envía registros DS actualizados al registry. Si manejas claves manualmente (nameservers personalizados), configura recordatorios de calendario. Una rotación perdida rompe el dominio.
Contenido mixto y firma parcial
Puedes firmar el apex y dejar subdominios sin firmar—solo no publiques registros DS para los subs. Las delegaciones sin firmar funcionan bien bajo un padre firmado. Lo inverso (hijo firmado bajo padre sin firmar) es imposible; la cadena debe ser ininterrumpida desde la raíz hacia abajo.
Impacto de desempeño
Las respuestas DNSSEC son 3–5x más grandes debido a registros de firma (RRSIG). IPv6 + DNSSEC puede empujar una respuesta UDP sobre 512 bytes, disparando fragmentación o fallback TCP. Los resolvers modernos manejan esto. Dispositivos embebidos antiguos (routers IoT con firmware de 2 MB) a veces fallan.
Si tu audiencia es 95% desktops/teléfonos modernos, habilítalo. Si estás sirviendo redes rurales con CPE de una década, prueba primero. Hemos visto una tasa de rotura bajo 0.1% en práctica, pero ese 0.1% se quejará fuertemente.
¿Por qué molestarse si usas HTTPS?
TLS encripta la conexión. DNSSEC autentica la respuesta DNS que le dice al navegador a cuál IP conectarse. Un atacante no puede leer tu tráfico HTTPS, pero sin DNSSEC pueden redirigirte a un servidor parecido con un certificado Let's Encrypt válido para examp1e.com. DNSSEC detiene la redirección. DANE va más lejos: fija tu certificado TLS en DNS, así incluso una CA comprometida no puede emitir un certificado falso para tu dominio.
Los exchanges de crypto, keyservers de PGP y operadores de puentes Tor deberían ejecutar DNSSEC + DANE. Todos los demás: es seguro gratis.
DNSSEC convierte DNS de una postal en un documento notariado. Habilítalo, publica el registro DS, valida. Si alguien intenta secuestrar tu dominio en vuelo, la firma se rompe y el ataque muere. Sin confianza requerida.