Questa pagina descrive come abilitare e disabilitare le estensioni di sicurezza del sistema DNS (Domain Name System Security Extensions) e verificare il deployment DNSSEC.
Per una panoramica concettuale delle DNSSEC, consulta la panoramica di DNSSEC.
Abilita DNSSEC per zone pubbliche gestite esistenti
Per abilitare le DNSSEC per le zone pubbliche gestite esistenti, segui questi passaggi.
Console
Nella console Google Cloud, vai alla pagina Cloud DNS.
Fai clic sul nome della zona per cui vuoi abilitare le DNSSEC.
Nella pagina Dettagli zona, fai clic su Modifica.
Nella pagina Edit a DNS zone (Modifica zona DNS), fai clic su DNSSEC.
In DNSSEC, seleziona On.
Fai clic su Salva.
Lo stato DNSSEC selezionato per la zona viene visualizzato nella colonna DNSSEC della pagina Cloud DNS.
gcloud
Esegui questo comando:
gcloud dns managed-zones update EXAMPLE_ZONE \ --dnssec-state on
Sostituisci EXAMPLE_ZONE
con l'ID zona.
Terraform
Abilita DNSSEC durante la creazione delle zone
Per abilitare le DNSSEC durante la creazione di una zona, segui questi passaggi.
Console
Nella console Google Cloud, vai alla pagina Cloud DNS.
Fai clic su Crea zona.
Nel campo Nome zona, inserisci un nome.
Nel campo Nome DNS, inserisci un nome.
In DNSSEC, seleziona On.
(Facoltativo) Aggiungi una descrizione.
Fai clic su Crea.
gcloud
Esegui questo comando:
gcloud dns managed-zones create EXAMPLE_ZONE \ --description "Signed Zone" \ --dns-name myzone.example.com \ --dnssec-state on
Sostituisci EXAMPLE_ZONE
con l'ID zona.
Verifica il deployment DNSSEC
Per verificare il corretto deployment della zona abilitata per DNSSEC, assicurati di aver inserito il record DS corretto nella zona padre. La risoluzione delle DNSSEC può non riuscire se si verifica una delle seguenti condizioni:
- La configurazione è errata o l'hai digitata in modo errato.
- Hai inserito il record DS errato nella zona principale.
Per verificare di avere la configurazione corretta e eseguire un controllo incrociato del record DS prima di inserirlo nella zona padre, utilizza i seguenti strumenti:
Puoi utilizzare il debugger Verisign DNSSEC e i siti Zonemaster per convalidare la configurazione DNSSEC prima di aggiornare il registrar con i server dei nomi Cloud DNS o il record DS. Un dominio configurato correttamente per le DNSSEC è example.com
, visualizzabile utilizzando DNSViz.
Impostazioni TTL consigliate per le zone con firma DNSSEC
TTL è la durata (in secondi) di una zona con firma DNSSEC.
A differenza delle scadenze TTL, che sono relative al momento in cui un server dei nomi invia una risposta a una query, le firme DNSSEC scadono a un tempo assoluto fisso. I TTL configurati per più di una durata della firma possono portare molti client a richiedere record contemporaneamente alla scadenza della firma DNSSEC. I TTL brevi possono anche causare problemi ai resolver che convalidano le DNSSEC.
Per ulteriori suggerimenti sulla selezione del TTL, consulta le sezioni RFC 6781 sezione 4.4.1 Time Considerazioni e RFC 6781 Figura 11.
Durante la lettura della sezione 4.4.1 di RFC 6781, tieni presente che molti parametri temporali della firma sono fissi da Cloud DNS e non puoi modificarli. Non puoi modificare i seguenti parametri (soggetto a modifiche senza preavviso o aggiornamenti del documento):
- Offset di inizio = 1 giorno
- Periodo di validità = 21 giorni
- Periodo per la nuova firma = 3 giorni
- Periodo di aggiornamento = 18 giorni
- Intervallo tremolio = 1⁄2 giorno (o ±6 ore)
- Validità minima della firma = aggiornamento - tremolio = 17,75 giorni = 1533600
Non devi mai utilizzare un TTL più lungo della validità minima della firma.
Disabilita DNSSEC per zone gestite
Dopo aver rimosso i record DS e atteso che scadano dalla cache, puoi utilizzare il seguente comando gcloud
per disattivare le DNSSEC:
gcloud dns managed-zones update EXAMPLE_ZONE \ --dnssec-state off
Sostituisci EXAMPLE_ZONE
con l'ID zona.
Passaggi successivi
- Per ottenere informazioni su configurazioni DNSSEC specifiche, consulta Utilizzare le DNSSEC avanzate.
- Per lavorare con le zone gestite, consulta Creare, modificare ed eliminare zone.
- Per trovare soluzioni ai problemi comuni che potresti riscontrare quando utilizzi Cloud DNS, consulta Risoluzione dei problemi.
- Per una panoramica di Cloud DNS, consulta la panoramica di Cloud DNS.