Una consulta en la herramienta pública de Verisign reveló que dominios de gigantes tecnológicos como aws.com y google.com devuelven respuestas DNS sin firma criptográfica, mientras que cloudflare.com sí aparece validado. El usuario reprodujo la prueba con la utilidad delv y obtuvo el mensaje "unsigned answer" para los dominios de Amazon, AWS y Google, pero "fully validated" para Cloudflare, lo que descarta un fallo genérico del cliente.
DNSSEC (Domain Name System Security Extensions) es un conjunto de extensiones del protocolo DNS que añade firmas digitales a los registros para que un resolver pueda verificar criptográficamente que la respuesta procede realmente del servidor autorizado y no ha sido manipulada en tránsito. Sin DNSSEC, un atacante capaz de interceptar o envenenar la caché de un servidor DNS podría devolver una IP maliciosa para el dominio legítimo y redirigir al usuario a un sitio falso, una técnica conocida como DNS spoofing o cache poisoning.
Paradójicamente, Amazon Web Services documenta en su guía de Route 53 cómo configurar DNSSEC en dominios alojados en su servicio, y Google es operador de un resolver público (8.8.8.8) que valida DNSSEC por defecto, por lo que la ausencia de firma en sus propios dominios corporativos resulta llamativa. La decisión de no firmar un dominio es, en cualquier caso, opcional y no implica que el sitio sea inseguro: depende de la cadena de confianza completa, de la gestión de claves en el registrador y del TLD.
El episodio ilustra una brecha de seguridad todavía frecuente: incluso empresas con capacidad técnica sobrada para desplegar DNSSEC mantienen sus dominios principales sin firmar, una práctica que para muchos expertos en seguridad DNS debería ser la norma en cualquier organización con presencia pública en internet.