Mengelola konfigurasi DNSSEC

Halaman ini menjelaskan cara mengaktifkan dan menonaktifkan Domain Name System Security Extensions (DNSSEC), dan memverifikasi deployment DNSSEC.

Untuk ringkasan konseptual DNSSEC, lihat ringkasan DNSSEC.

Mengaktifkan DNSSEC untuk zona publik terkelola yang ada

Guna mengaktifkan DNSSEC untuk zona publik terkelola yang sudah ada, ikuti langkah-langkah berikut.

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

Mengaktifkan DNSSEC saat membuat zona

Untuk mengaktifkan DNSSEC saat Anda membuat zona, ikuti langkah-langkah berikut.

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Memverifikasi deployment DNSSEC

Untuk memverifikasi deployment zona yang diaktifkan dengan DNSSEC yang benar, pastikan Anda telah menempatkan data DS yang benar di zona induk. Resolusi DNSSEC dapat gagal jika salah satu hal berikut terjadi:

• Konfigurasi salah, atau Anda salah mengetiknya.
• Anda telah menempatkan data DS yang salah di zona induk.

Untuk memverifikasi bahwa Anda menerapkan konfigurasi yang tepat dan memeriksa ulang data DS sebelum menempatkannya di zona induk, gunakan alat berikut:

• DNSViz
• Debugger DNSSEC Versign
• Zonemaster

Anda dapat menggunakan situs debugger dan Zonemaster DNSSEC Verisign untuk memvalidasi konfigurasi DNSSEC sebelum memperbarui registrar dengan server nama Cloud DNS atau data DS. Domain yang dikonfigurasi dengan benar untuk DNSSEC adalah example.com, yang dapat dilihat menggunakan DNSViz.

Setelan TTL yang direkomendasikan untuk zona bertanda tangan DNSSEC

TTL adalah waktu aktif (dalam detik) untuk zona bertanda tangan DNSSEC.

Tidak seperti masa berlaku TTL, yang relatif terhadap waktu server nama mengirim respons ke kueri, tanda tangan DNSSEC berakhir masa berlakunya pada waktu absolut yang tetap. TTL yang dikonfigurasi lebih lama dari masa aktif tanda tangan dapat menyebabkan banyak klien meminta data pada saat yang sama dengan masa berlaku tanda tangan DNSSEC berakhir. TTL singkat juga dapat menyebabkan masalah untuk resolver yang memvalidasi DNSSEC.

Untuk rekomendasi selengkapnya tentang pemilihan TTL, lihat RFC 6781 bagian 4.4.1 Pertimbangan Waktu dan RFC 6781 Gambar 11.

Saat membaca RFC 6781 bagian 4.4.1, pertimbangkan bahwa banyak parameter waktu tanda tangan yang diperbaiki oleh Cloud DNS dan Anda tidak dapat mengubahnya. Anda tidak dapat mengubah parameter berikut (dapat berubah tanpa pemberitahuan atau pembaruan dokumen ini):

• Offset awal = 1 hari
• Periode validitas = 21 hari
• Periode penandatanganan ulang = 3 hari
• Periode pembaruan = 18 hari
• Interval jitter = 1⁄2 hari (atau ±6 jam)
• Validitas tanda tangan minimum = refresh – jitter = 17,75 hari = 1533600

Anda tidak boleh menggunakan TTL lebih lama dari validitas tanda tangan minimum.

Nonaktifkan DNSSEC untuk zona terkelola

Setelah menghapus data DS dan menunggu hingga masa berlakunya habis dari cache, Anda dapat menggunakan perintah gcloud berikut untuk menonaktifkan DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Ganti EXAMPLE_ZONE dengan ID zona.

Langkah selanjutnya

• Untuk mendapatkan informasi tentang konfigurasi DNSSEC tertentu, lihat Menggunakan DNSSEC lanjutan.
• Untuk menangani zona terkelola, lihat Membuat, mengubah, dan menghapus zona.
• Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
• Untuk mendapatkan ringkasan Cloud DNS, lihat ringkasan Cloud DNS.