Gestire la configurazione DNSSEC

Questa pagina descrive come attivare e disattivare le estensioni DNSSEC (Domain Name System Security Extensions) e verificare il loro deployment.

Per una panoramica concettuale di DNSSEC, consulta la panoramica di DNSSEC.

Abilita DNSSEC per le zone pubbliche gestite esistenti

Per abilitare DNSSEC per le zone pubbliche gestite esistenti, segui questi passaggi.

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

Abilita DNSSEC durante la creazione di zone

Per abilitare DNSSEC quando crei una zona, segui questi passaggi.

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Verifica il deployment di DNSSEC

Per verificare il corretto dispiegamento della zona abilitata a DNSSEC, assicurati di aver inserito il record DS corretto nella zona principale. La risoluzione DNSSEC può non riuscire se si verifica una delle seguenti condizioni:

• La configurazione è errata o l'hai digitata in modo errato.
• Hai inserito il record DS errato nella zona principale.

Per verificare di avere impostato la configurazione corretta e per eseguire un controllo incrociato il record DS prima di posizionarlo nella zona padre, utilizza i seguenti strumenti:

• DNSViz
• Debugger DNSSEC di Verisign
• Zonemaster

Puoi utilizzare il debugger DNSSEC di Verisign e i siti Zonemaster per convalidare il tuo Configurazione DNSSEC prima di aggiornare il registrar con Cloud DNS server dei nomi o record DS. Un dominio configurato correttamente per le DNSSEC example.com, visibile con DNSViz.

Impostazioni TTL consigliate per le zone con firma DNSSEC

Il TTL è la durata (in secondi) di una zona con firma DNSSEC.

A differenza delle scadenze TTL, che sono relative all'ora in cui un server dei nomi invia un risposta a una query, le firme DNSSEC scadono a un tempo assoluto fisso. I TTL configurati per una durata superiore a quella della firma possono portare molti client a richiedere record contemporaneamente alla scadenza della firma DNSSEC. I TTL brevi possono anche causare problemi ai resolver con convalida di DNSSEC.

Per ulteriori consigli sulla selezione del TTL, consulta la sezione 4.4.1 del documento RFC 6781 Considerazioni sull'ora e la Figura 11 del documento RFC 6781.

Quando si legge RFC 6781 sezione 4.4.1, si prenda in considerazione quel numero di vengono fissati da Cloud DNS e non è possibile modificarli. Non puoi modificare i seguenti parametri (soggetti a modifiche senza preavviso o senza aggiornamenti a questo documento):

• Offset di inizio = 1 giorno
• Periodo di validità = 21 giorni
• Periodo di nuova firma = 3 giorni
• Periodo di aggiornamento = 18 giorni
• Intervallo di jitter = ½ giorno (o ±6 ore)
• Validità minima della firma = aggiornamento - jitter = 17,75 giorni = 1533600

Non devi mai utilizzare un TTL superiore alla validità minima della firma.

Disabilita DNSSEC per le zone gestite

Dopo aver rimosso i record DS e aver aspettato che scadano dalla cache, puoi utilizzare il seguente comando gcloud per disattivare DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Sostituisci EXAMPLE_ZONE con l'ID zona.

Passaggi successivi

• Per informazioni su configurazioni DNSSEC specifiche, consulta Utilizzare DNSSEC avanzate.
• Per utilizzare le zone gestite, consulta Creare, modificare ed eliminare zone.
• Per trovare soluzioni a problemi comuni che potresti riscontrare durante l'utilizzo Cloud DNS, consulta Risoluzione dei problemi.
• Per una panoramica di Cloud DNS, consulta Panoramica di Cloud DNS.