El problema que resuelve
Cuando alguien escribe asentic.cl en su navegador, ocurre una cadena de consultas DNS que termina entregando una IP. Esa cadena no tiene autenticación por defecto: cualquier intermediario en el camino —un resolver comprometido, un equipo en la misma red— puede responder con una IP falsa y redirigir al usuario a donde quiera.
Esto se llama DNS cache poisoning o DNS spoofing, y es un vector real. En 2008, Dan Kaminsky demostró que cualquier resolver del planeta podía ser envenenado en minutos. La industria aceleró el despliegue de DNSSEC como respuesta.
DNSSEC no cifra el tráfico DNS —eso lo hace DoH o DoT— sino que firma criptográficamente los registros. El resolver puede verificar que la respuesta viene del dueño legítimo del dominio y no fue alterada.
Cómo funciona la cadena de confianza
DNSSEC funciona como un árbol de confianza que parte desde la raíz de internet:
. (root, firmado por ICANN)
└── .cl (firmado por NIC.cl)
└── asentic.cl (firmado por tu proveedor DNS — Cloudflare en este caso)
Cada nodo del árbol publica un registro DS (Delegation Signer) que enlaza hacia la clave del nodo hijo. Cuando un resolver valida asentic.cl, sube por la cadena hasta la raíz y verifica que cada firma sea coherente.
Para que la cadena esté completa necesitas dos pasos:
- Que tu zona esté firmada (Cloudflare lo hace automáticamente).
- Que el registro DS de tu zona esté publicado en NIC.cl.
El segundo paso es el que la mayoría omite —o no sabe que tiene que hacer.
Paso 1: activar DNSSEC en Cloudflare
Cloudflare firma tu zona automáticamente en cuanto activas la opción.
- Entra a dash.cloudflare.com y selecciona tu dominio.
- Ve a DNS → Configuración (o busca la pestaña DNSSEC).
- Haz clic en Habilitar DNSSEC.
Cloudflare genera el par de claves (KSK + ZSK, algoritmo ECDSA P-256 / algoritmo 13) y firma todos los registros de tu zona. Inmediatamente te muestra el registro DS que debes publicar en tu registrador:
Key Tag: 2371
Algorithm: 13 (ECDSA Curve P-256 with SHA-256)
Digest Type: 2 (SHA-256)
Digest: F6F7FADC9C60B85F128FF3AE978FDB81...
Copia estos cuatro valores. Los necesitas para el siguiente paso.
Paso 2: publicar el DS en NIC.cl
NIC.cl gestiona todos los dominios .cl. Para publicar el DS:
- Entra a clientes.nic.cl con tu cuenta de registrante.
- Selecciona el dominio y, en la sección 4. Configuración Técnica, haz clic en el enlace (DNSSec) al pie del formulario.
- En el diálogo Administración de llaves para DNSSec, elige tipo DS e ingresa la clave que Cloudflare generó.
- Marca la casilla Publicar y confirma.
NIC.cl publica el DS en la zona .cl en un plazo de 24 a 72 horas. No envían notificación automática cuando queda activo —solo puedes verificarlo consultando directamente.
Cómo verificar que la cadena está activa
Una vez que NIC.cl publique el DS, la validación completa es verificable con herramientas estándar.
Verificación rápida desde terminal:
# DS publicado en la zona .cl
dig DS asentic.cl +short
# RRSIG presente en los registros (zona firmada)
dig A asentic.cl +dnssec +short
# Validación completa con cadena de confianza
delv @8.8.8.8 asentic.cl A +rtrace
Si la cadena está completa, delv responde con ; fully validated. Si el DS todavía no está publicado en .cl, el comando intenta buscarlo y devuelve vacío —la zona sigue firmada pero sin validación desde fuera.
Para consultar directamente si el DS ya aparece en NIC.cl antes de que propague a los resolvers públicos:
dig DS asentic.cl @a.nic.cl
Mientras el DS está pendiente, la respuesta muestra ANSWER: 0 con una sección AUTHORITY (SOA). Cuando queda publicado, ANSWER: 1 incluye el registro DS.
Verificador online: DNSSEC Analyzer de Verisign Labs (dnssec-analyzer.verisignlabs.com) muestra el estado de cada eslabón de la cadena en verde o rojo.
Qué pasa mientras esperas la publicación
Mientras NIC.cl procesa el DS, tu zona ya está firmada. Los registros incluyen firmas RRSIG que los resolvers con validación DNSSEC pueden verificar si tienen el DS por otro medio. En la práctica, esto es transparente para los usuarios: sin el DS en .cl, los resolvers simplemente ignoran las firmas (modo insecure, no bogus) y el tráfico funciona con normalidad.
El riesgo de la transición es mínimo. Una vez que el DS queda publicado, los resolvers con validación activa —los de ISPs modernos, Google, Cloudflare, etc.— empiezan a verificar la cadena en cada consulta.
Por qué vale la pena
DNSSEC es especialmente relevante para:
- Correo electrónico: los registros MX firmados impiden redirigir tu correo a un servidor atacante. Complementa bien a DMARC y MTA-STS.
- Confianza en subdominios: los registros de
vpn.asentic.cl,mail.asentic.cly similares también quedan protegidos. - Señal de postura de seguridad: para empresas que participan en licitaciones o procesan datos sensibles, DNSSEC bien configurado es un indicador verificable externamente.
La activación es un proceso de media hora. El costo operativo después es cero: Cloudflare rota las claves automáticamente y NIC.cl mantiene el DS vigente.
