Validación de DNSSEC en 2022: los ISP canadienses deben tomarse en serio la seguridad del DNS

En mi primer post de esta serie, destaqué el asombroso crecimiento de la validación DNSSEC en los países de África.

En este post, saltaré al otro lado del Océano Atlántico para destacar los cambios mixtos que hemos visto en la validación de DNSSEC durante el último año en Norteamérica y Sudamérica.

El crecimiento continúa en Sudamérica, con Guyana, Venezuela y Argentina registrando importantes ganancias en 2022.

La validación de DNSSEC en las redes del Caribe creció del 20 al 25%, mientras que las redes centroamericanas crecieron un par de puntos porcentuales.

Haití (.ht) también se ha unido recientemente a los 148 países que cuentan con dominios de nivel superior de código de país (ccTLD) habilitados para DNSSEC. Firmar el dominio e instalar claves de seguridad en la zona raíz del DNS es un primer paso importante para una implantación más generalizada de DNSSEC.

Observe el aumento constante en la adopción de DNSSEC de ccTLD y la adopción de la validación de DNSSEC a través de nuestra página Pulse Enabling Technologies.

En Norteamérica, observamos un descenso en la validación de DNSSEC de casi el 40% a principios de 2022 a alrededor del 32% a finales de año.

Parte de este descenso puede atribuirse a una disminución del 5% (del 40% al 35%) en Estados Unidos.

EE.UU. es un ejemplo en el que la validación de DNSSEC se está produciendo en gran medida debido a un ISP muy grande: Comcast. Si observa la tabla que muestra las 20 principales redes de las que APNIC Labs recibe muestras, Comcast es la única red que realiza una validación de DNSSEC significativa hasta llegar al número 16 de la lista.

Dado que Comcast es el mayor ISP de EE.UU., esto es en gran medida lo que le confiere su tasa global de validación del 35%. En este momento, los otros grandes proveedores de telefonía móvil (AT&T, T-Mobile, Verizon) no validan, como tampoco lo hacen otros grandes proveedores de cable como Charter, Cox y Time Warner.

Sin embargo, el descenso en Norteamérica se atribuye principalmente a Canadá, donde la validación de DNSSEC descendió casi un 50%: la línea azul de la figura 4 lo demuestra.

Hubo pequeños descensos en varios ISP, como Xplornet que bajó del 30% al 10% de validación. Pero el mayor descenso fue el de Cogeco Communications, donde habían estado validando hasta alrededor del 95 al 98% de todas las consultas desde 2018. Luego, en diciembre de 2022, ¡parece que simplemente lo desactivaron! 🤷 Tenga en cuenta que no son los responsables de todo el descenso. Como puede ver en la figura 5, la suya fue una caída repentina (líneas azules y amarillas) mientras que los totales de los países (líneas verdes y moradas) fueron disminuyendo a lo largo de todo el año. Esperemos que Cogeco Communications vuelva a activar pronto la validación DNSSEC.

El reto de Canadá es que sus mayores ISP no están validando DNSSEC. Hay que bajar hasta el nº 9 de la lista (figura 6), donde SaskTel lleva haciendo un trabajo impresionante validando DNSSEC desde 2020. Pero a diferencia de EE.UU., donde Comcast lidera el sector, ninguno de los mayores ISP de Canadá parece tomarse en serio la seguridad del DNS.

Como apunte, dado todo nuestro trabajo con satélites de órbita terrestre baja (LEO ) el año pasado, me alegró ver que la red Starlink de SpaceX en Canadá llegaba con una validación cercana al 99%.

Con todo, la historia de Norteamérica es que EE.UU. y Canadá necesitan conseguir que más de sus ISP más grandes empiecen a validar DNSSEC.

A un nivel elevado, Europa terminó 2022 ligeramente por encima de donde empezó gracias a algunos movimientos positivos en Italia y Rusia, pero descensos en Francia y el Reino Unido.

Del mismo modo, Asia registró una media ligeramente superior a la de 2022, aunque se ha producido un aumento a principios de 2023, con Bangladesh dando un sólido paso e Irán dando un gran salto.

Exploraré los detalles de estos en mi próximo post.