Administra la configuración de DNSSEC

En esta página, se describe cómo inhabilitar y habilitar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC), verificar la implementación de DNSSEC y migrar zonas desde Cloud DNS y hacia allí.

Para ver una descripción general conceptual de DNSSEC, consulta Descripción general de DNSSEC.

Habilita DNSSEC para zonas administradas existentes

Para habilitar DNSSEC en zonas administradas existentes, consulta los siguientes pasos.

Console

  1. En Google Cloud Console, ve a la página de Cloud DNS.

    Ve a Cloud DNS

  2. Haz clic en la configuración de DNSSEC de la zona y, en DNSSEC, selecciona Activado.

    Habilita el menú de zona de DNSSEC

  3. En el diálogo de confirmación, haz clic en Habilitar.

    Habilitar diálogo de confirmación de DNSSEC

gcloud

Ejecuta el siguiente comando:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

Reemplaza EXAMPLE_ZONE por el ID de zona.

Python

Ejecute lo siguiente:

def enable_dnssec(project_id, name, description=None):
client = dns.Client(project=project_id)
zone = client.zone(name=name)
zone.update(dnssec='on', description=description)

Habilita DNSSEC durante la creación de zonas

Para habilitar DNSSEC cuando crees una zona, consulta los siguientes pasos.

Console

  1. En Google Cloud Console, ve a la página de Cloud DNS.

    Ve a Cloud DNS

  2. Haz clic en Crear zona.

  3. En el campo Nombre de zona, ingresa un nombre.

  4. En el campo Nombre de DNS, ingresa un nombre.

  5. En DNSSEC, selecciona Activado.

  6. Opcional: Agrega una descripción.

  7. Haga clic en Crear.

    Crear zona con firma de DNSSEC

gcloud

Ejecuta el siguiente comando:

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Reemplaza EXAMPLE_ZONE por el ID de zona.

Python

Ejecute lo siguiente:

def create_signed_zone(project_id, name, dns_name, description):
client = dns.Client(project=project_id)
zone = client.zone(
    name,  # examplezonename
    dns_name=dns_name,  # example.com.
    description=description,
    dnssec='on')
zone.create()
return zone

Verifica la implementación de DNSSEC

A fin de verificar la implementación correcta de tu zona habilitada para DNSSEC, asegúrate de colocar el registro DS correcto en la zona principal. La resolución de DNSSEC puede fallar si ocurre alguna de las siguientes situaciones:

  • La configuración es incorrecta o no la escribiste correctamente.
  • Colocaste el registro DS incorrecto en la zona superior.

Para verificar que tengas la configuración correcta y verificar el registro de DS antes de colocarlo en la zona superior, usa las siguientes herramientas:

Puedes usar el depurador de DNSSEC de Verisign y los sitios de Zonemaster para validar tu configuración de DNSSEC antes de actualizar tu registrador con tus servidores de nombres de Cloud DNS o registro DS. Un dominio que está correctamente configurado para DNSSEC es example.com, visible mediante DNSViz.

Configuración recomendada de TTL para las zonas con firma de DNSSEC

El TTL es el tiempo de actividad (en segundos) de una zona con firma de DNSSEC.

A diferencia de los vencimientos de TTL, que dependen del momento en el que un servidor de nombres envía una respuesta a una consulta, las firmas de DNSSEC vencen en un tiempo absoluto fijo. Los TTL configurados por más tiempo que la duración de una firma pueden hacer que muchos clientes soliciten registros al mismo tiempo que vence la firma de DNSSEC. Los TTL cortos también pueden causar problemas para los agentes de resolución que validan DNSSEC.

Para obtener más recomendaciones sobre la selección de TTL, consulta Consideraciones de tiempo de la sección 4.4.1 de la RFC 6781 y la Figura 11 de RFC 6781.

Cuando se lee la sección 4.4.1 de RFC 6781, considera que muchos parámetros de tiempo de firma que Cloud DNS fija, y no puedes cambiarlos. En este momento, no puedes cambiar lo siguiente (sujeto a cambios sin notificar ni actualizar en este documento):

  • Compensación de inicio = 1 día
  • Período de validez = 21 días
  • Período de firma nueva = 3 días
  • Período de actualización = 18 días
  • Intervalo de Jitter = ½ día (o ± 6 horas)
  • Validez mínima de la firma = actualización – Jitter = 17.75 días = 1533600

Nunca debes usar un TTL más largo que la validez mínima de la firma.

Inhabilita DNSSEC para zonas administradas

Después de quitar los registros de DS y esperar a que venzan en la caché, puedes usar el siguiente comando de gcloud para desactivar DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Reemplaza EXAMPLE_ZONE por el ID de zona.

DNSSEC, transferencias de dominios y migración de zonas

Para las zonas con DNSSEC habilitada en las que DNSSEC se ha activado en el registro del dominio, consulta los pasos en las siguientes secciones para garantizar una operación correcta del dominio:

  • Cuando se transfiere a otro registrador (o se transfiere la propiedad)

  • Cuando se migra la zona de DNS entre Cloud DNS y otro operador de DNS

El enfoque técnico que usa Cloud DNS para estas migraciones es la variante de transferencia KSK Double-DS descrita en la Transferencia de claves de firma de claves de la sección 4.11.2.

Para obtener una presentación informativa sobre las transferencias de DNSSEC y dominio y los posibles errores, consulta DNS/DNSSEC y transferencias de dominio: ¿son compatibles?

Cómo migrar zonas con firma de DNSSEC a Cloud DNS

Si migras una zona con firma de DNSSEC a Cloud DNS, asegúrate de que Cloud DNS sea compatible con el mismo algoritmo de KSK que está en uso. De lo contrario, desactiva DNSSEC en tu registrador de dominios antes de migrar la zona y actualiza los registros del servidor de nombres en el registrador para que usen los servidores de nombres de Cloud DNS.

Si Cloud DNS admite los algoritmos de KSK y ZSK existentes, sigue estos pasos para realizar la migración con DNSSEC habilitada:

  1. Crea una zona con firma de DNSSEC nueva en el estado de DNSSEC Transfer. El estado Transfer te permite copiar de forma manual los DNSKEY en la zona.

  2. Exporta tus archivos de zona y, luego, impórtalos en la zona nueva.

  3. Agrega los registros DNSKEY (KSK y ZSK) de los archivos de zona provenientes de la zona antigua.

    También puedes usar el comando dig para realizar consultas en los otros servidores de nombres acerca de los registros DNSKEY.

  4. Agrega el registro DS para la zona nueva a tu registrador.

  5. Actualiza los registros del servidor de nombres del registrador con los servidores de nombres de Cloud DNS para la zona nueva.

Abandona el estado de transferencia de DNSSEC

Antes de abandonar el estado de transferencia de DNSSEC, espera hasta que las referencias del servidor de nombres (NS y DS) a Cloud DNS se hayan propagado en todos los servidores de nombres autorizados. Además, asegúrate de que el TTL haya vencido para todos los registros de recursos DNSDNS del servidor de nombres anteriores (no solo los registros NS y DSN de la zona superior del registro, sino también los registros DNSKEY, NSEC/NSEC3 y RRSIG. registros de la zona antigua). Asegúrate de quitar los registros DNSKEY de transferencia que se agregaron de forma manual.

Luego, puedes cambiar el estado de DNSSEC de la zona de Transfer a On. Cuando realizas este cambio, se habilita la rotación automática de ZSK de la zona. Por lo general, tus zonas pueden abandonar el estado de transferencia de DNSSEC al cabo de una semana con seguridad, y no deberían permanecer en este estado durante más de uno o dos meses.

También deberías quitar el registro DS de la zona del operador de DNS antigua de tu registrador.

Cómo migrar zonas con firma de DNSSEC desde Cloud DNS

Antes de migrar una zona con firma de DNSSEC a otro operador de DNS, asegúrate de que la zona y el operador admitan el mismo algoritmo KSK que usas. De lo contrario, desactiva DNSSEC en tu registrador de dominios antes de migrar la zona y actualiza los registros del servidor de nombres en el registrador para que usen los servidores de nombres nuevos.

Si admiten los mismos algoritmos de KSK (y, preferentemente, los mismos ZSK), y permiten copiar los registros DNSKEY existentes en la zona nueva, sigue estos pasos para realizar la migración con DNSSEC habilitada:

  1. Cambia el estado de DNSSEC de On a Transfer. Esto detiene la rotación de ZSK.

  2. Exporta tu archivo de zona (incluidos los registros DNSKEY) y, luego, impórtalo en la zona nueva.

  3. Si no se realizó la importación de DNSKEY (KSK y ZSK), agrégalos de forma manual.

    Usa el comando dig para consultar a los servidores de nombres de Cloud DNS de tu zona acerca de los registros DNSKEY:

    dig DNSKEY myzone.example.com. @ns-cloud-e1.googledomains.com.
    
  4. Habilita la firma de DNSSEC en la zona nueva y agrega un registro DS para el nuevo KSK en el registrador.

    Si tu registrador no admite varios registros DS, completa esta tarea en el paso 6.

  5. Opcional: Importa los registros DNSKEY nuevos correspondientes a la zona nueva en Cloud DNS.

    Puedes usar un comando dig similar al del paso 3 para esto, pero omite los DNSKEY que exportaste desde Cloud DNS.

  6. Para usar el nuevo operador de DNS, actualice los registros del servidor de nombres en el registrador.

    Si solo puedes reemplazar registros DS en tu registrador, hazlo ahora.

Si el otro operador de DNS tiene un proceso para migrar una zona con firma de DNSSEC (como Dyn), debes realizar sus pasos en paralelo con este procedimiento, después del paso 1.

Después de completar todos los pasos necesarios en el otro operador de DNS, haz lo siguiente:

  1. Actualiza el estado de DNSSEC a Off o borra la zona en Cloud DNS para inhabilitar DNSSEC.

  2. Quita el registro DS para la zona de Cloud DNS de tu registrador.

¿Qué sigue?