Mengelola konfigurasi DNSSEC

Halaman ini menjelaskan cara mengaktifkan dan menonaktifkan Domain Name System Security Extensions (DNSSEC), serta memverifikasi deployment DNSSEC.

Untuk ringkasan konseptual DNSSEC, lihat ringkasan DNSSEC.

Mengaktifkan DNSSEC untuk zona publik terkelola yang ada

Untuk mengaktifkan DNSSEC untuk zona publik terkelola yang ada, ikuti langkah-langkah berikut.

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

Mengaktifkan DNSSEC saat membuat zona

Untuk mengaktifkan DNSSEC saat membuat zona, ikuti langkah-langkah berikut.

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Memverifikasi deployment DNSSEC

Untuk memverifikasi deployment zona yang mengaktifkan DNSSEC dengan benar, pastikan Anda telah menempatkan data DS yang benar di zona induk. Resolusi DNSSEC dapat gagal jika salah satu hal berikut terjadi:

• Konfigurasi salah, atau Anda salah mengetik.
• Anda telah menempatkan data DS yang salah di zona induk.

Untuk memverifikasi bahwa Anda memiliki konfigurasi yang tepat dan untuk memeriksa ulang data DS sebelum menempatkannya di zona induk, gunakan alat berikut:

• DNSViz
• Debugger DNSSEC Verisign
• Zonemaster

Anda dapat menggunakan debugger DNSSEC Verisign dan situs Zonemaster untuk memvalidasi konfigurasi DNSSEC sebelum memperbarui registrar dengan server nama Cloud DNS atau data DS. Domain yang dikonfigurasi dengan benar untuk DNSSEC adalah example.com, yang dapat dilihat menggunakan DNSViz.

Setelan TTL yang direkomendasikan untuk zona yang ditandatangani DNSSEC

TTL adalah time to live (dalam detik) untuk zona yang ditandatangani DNSSEC.

Tidak seperti masa berlaku TTL, yang relatif terhadap waktu server nama mengirim respons ke kueri, masa berlaku tanda tangan DNSSEC berakhir pada waktu absolut tetap. TTL yang dikonfigurasi lebih lama dari masa berlaku tanda tangan dapat menyebabkan banyak klien meminta data secara bersamaan saat masa berlaku tanda tangan DNSSEC berakhir. TTL yang singkat juga dapat menyebabkan masalah bagi resolver yang memvalidasi DNSSEC.

Untuk rekomendasi selengkapnya tentang pemilihan TTL, lihat RFC 6781 bagian 4.4.1 Time Considerations dan RFC 6781 Gambar 11.

Saat membaca RFC 6781 bagian 4.4.1, pertimbangkan bahwa banyak parameter waktu tanda tangan ditetapkan oleh Cloud DNS dan Anda tidak dapat mengubahnya. Anda tidak dapat mengubah parameter berikut (dapat berubah sewaktu-waktu tanpa pemberitahuan atau pembaruan pada dokumen ini):

• Offset awal = 1 hari
• Periode validitas = 21 hari
• Periode penandatanganan ulang = 3 hari
• Periode pembaruan = 18 hari
• Interval jitter = ½ hari (atau ±6 jam)
• Validitas tanda tangan minimum = refresh – jitter = 17,75 hari = 1533600

Anda tidak boleh menggunakan TTL yang lebih lama dari validitas tanda tangan minimum.

Menonaktifkan DNSSEC untuk zona terkelola

Setelah menghapus data DS dan menunggu masa berlakunya habis dari cache, Anda dapat menggunakan perintah gcloud berikut untuk menonaktifkan DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Ganti EXAMPLE_ZONE dengan ID zona.

Langkah selanjutnya

• Untuk mendapatkan informasi tentang konfigurasi DNSSEC tertentu, lihat Menggunakan DNSSEC lanjutan.
• Untuk menggunakan zona terkelola, lihat Membuat, mengubah, dan menghapus zona.
• Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
• Untuk mendapatkan ringkasan Cloud DNS, lihat Ringkasan Cloud DNS.