Gestionar la configuración de DNSSEC

En esta página se describe cómo habilitar e inhabilitar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) y cómo verificar la implementación de las DNSSEC.

Para obtener una descripción general conceptual de DNSSEC, consulta la información general sobre DNSSEC.

Habilitar DNSSEC en zonas públicas gestionadas

Para habilitar DNSSEC en zonas públicas gestionadas, sigue estos pasos.

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

Habilitar DNSSEC al crear zonas

Para habilitar DNSSEC al crear una zona, sigue estos pasos.

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Verificar la implementación de DNSSEC

Para verificar que la zona con DNSSEC se ha implementado correctamente, asegúrate de haber colocado el registro DS correcto en la zona principal. La resolución de DNSSEC puede fallar si ocurre alguna de las siguientes situaciones:

• La configuración es incorrecta o la has escrito mal.
• Has colocado el registro DS incorrecto en la zona principal.

Para verificar que tienes la configuración correcta y comprobar el registro DS antes de colocarlo en la zona principal, utiliza las siguientes herramientas:

• DNSViz
• Depurador de DNSSEC de Verisign
• Zonemaster

Puedes usar los sitios del depurador de DNSSEC de Verisign y Zonemaster para validar tu configuración de DNSSEC antes de actualizar tu registrador con tus servidores de nombres o registros DS de Cloud DNS. Un dominio configurado correctamente para DNSSEC es example.com y se puede ver con DNSViz.

Configuración de TTL recomendada para zonas firmadas con DNSSEC

El TTL es el tiempo de vida (en segundos) de una zona firmada con DNSSEC.

A diferencia de las expiraciones de TTL, que son relativas al momento en que un servidor de nombres envía una respuesta a una consulta, las firmas DNSSEC expiran en un momento absoluto fijo. Si se configuran TTLs más largos que el tiempo de vida de una firma, muchos clientes pueden solicitar registros al mismo tiempo que caduca la firma DNSSEC. Los TTLs cortos también pueden causar problemas en los resolvers que validan DNSSEC.

Para obtener más recomendaciones sobre la selección de TTL, consulta la sección 4.4.1 Time Considerations de RFC 6781 y la figura 11 de RFC 6781.

Al leer la sección 4.4.1 de RFC 6781, ten en cuenta que Cloud DNS fija muchos parámetros de tiempo de firma y no puedes cambiarlos. No puedes cambiar los siguientes parámetros (pueden cambiar sin previo aviso o sin actualizar este documento):

• Desfase de creación = 1 día
• Periodo de validez = 21 días
• Periodo de renovación = 3 días
• Periodo de actualización = 18 días
• Intervalo de fluctuación = ½ día (o ±6 horas)
• Validez mínima de la firma = actualización – fluctuación = 17,75 días = 1533600

Nunca debes usar un TTL superior a la validez mínima de la firma.

Inhabilitar DNSSEC en zonas gestionadas

Después de eliminar los registros DS y esperar a que caduquen de la caché, puedes usar el siguiente comando gcloud para desactivar DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Sustituye EXAMPLE_ZONE por el ID de la zona.

Siguientes pasos

• Para obtener información sobre configuraciones de DNSSEC específicas, consulta Usar DNSSEC avanzadas.
• Para trabajar con zonas gestionadas, consulta Crear, modificar y eliminar zonas.
• Para encontrar soluciones a problemas habituales que pueden surgir al usar Cloud DNS, consulta la sección Solución de problemas.
• Para obtener una descripción general de Cloud DNS, consulta el artículo Información general sobre Cloud DNS.