Gestisci configurazione DNSSEC

Questa pagina descrive come attivare e disattivare le estensioni DNSSEC (Domain Name System Security Extensions) e verificare il loro deployment.

Per una panoramica concettuale delle DNSSEC, consulta la panoramica di DNSSEC.

Attivare DNSSEC per le zone pubbliche gestite esistenti

Per abilitare DNSSEC per zone pubbliche gestite esistenti, segui questi passaggi.

Console

  1. Nella console Google Cloud, vai alla pagina Cloud DNS.

    Vai a Cloud DNS

  2. Fai clic sul nome della zona per la quale vuoi attivare DNSSEC.

  3. Nella pagina Dettagli zona, fai clic su Modifica.

  4. Nella pagina Modifica una zona DNS, fai clic su DNSSEC.

  5. In DNSSEC, seleziona On.

  6. Fai clic su Salva.

Lo stato DNSSEC selezionato per la zona viene visualizzato nella sezione DNSSEC della pagina Cloud DNS.

gcloud

Esegui questo comando:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

Sostituisci EXAMPLE_ZONE con l'ID zona.

Terraform

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

Abilita DNSSEC durante la creazione di zone

Per attivare DNSSEC quando crei una zona:

Console

  1. Nella console Google Cloud, vai alla pagina Cloud DNS.

    Vai a Cloud DNS

  2. Fai clic su Crea zona.

  3. Nel campo Nome zona, inserisci un nome.

  4. Nel campo Nome DNS, inserisci un nome.

  5. In DNSSEC, seleziona On.

  6. (Facoltativo) Aggiungi una descrizione.

  7. Fai clic su Crea.

    Crea zona con firma DNSSEC

gcloud

Esegui questo comando:

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Sostituisci EXAMPLE_ZONE con l'ID zona.

Verifica il deployment di DNSSEC

Per verificare il corretto dispiegamento della zona abilitata a DNSSEC, assicurati di aver inserito il record DS corretto nella zona principale. La risoluzione DNSSEC può non riuscire se si verifica una delle seguenti condizioni:

  • La configurazione è errata o l'hai digitata in modo errato.
  • Hai inserito il record DS errato nella zona principale.

Per verificare di aver configurato correttamente il record DS e per eseguire la verifica incrociata del record DS prima di inserirlo nella zona principale, utilizza i seguenti strumenti:

Puoi utilizzare il debugger DNSSEC di Verisign e i siti Zonemaster per convalidare il tuo Configurazione DNSSEC prima di aggiornare il registrar con Cloud DNS server dei nomi o record DS. Un dominio configurato correttamente per le DNSSEC example.com, visualizzabili con DNSViz.

Impostazioni TTL consigliate per le zone con firma DNSSEC

Il TTL è la durata (in secondi) di una zona con firma DNSSEC.

A differenza delle scadenze TTL, che sono relative al momento in cui un server dei nomi invia una risposta a una query, le firme DNSSEC scadono in un momento assoluto fisso. I TTL configurati più lunghi della durata della firma possono portare a molti client che richiedono record contemporaneamente alla scadenza della firma DNSSEC. I TTL brevi possono anche causare problemi ai resolver con convalida di DNSSEC.

Per ulteriori consigli sulla selezione del TTL, consulta la sezione 4.4.1 del documento RFC 6781 Considerazioni sull'ora e la Figura 11 del documento RFC 6781.

Quando leggi la sezione 4.4.1 del documento RFC 6781, tieni presente che molti parametri relativi al tempo della firma sono fissati da Cloud DNS e non puoi modificarli. Non puoi modificare i seguenti parametri (soggetti a modifiche senza preavviso o aggiornamento di questo documento):

  • Offset di inizio = 1 giorno
  • Periodo di validità = 21 giorni
  • Periodo di nuova firma = 3 giorni
  • Periodo di aggiornamento = 18 giorni
  • Intervallo tremolio = 1⁄2 giorno (o ±6 ore)
  • Validità minima della firma = aggiornamento - jitter = 17,75 giorni = 1533600

Non devi mai utilizzare un TTL più lungo della validità minima della firma.

Disattivare DNSSEC per le zone gestite

Dopo aver rimosso i record DS e aver atteso che scadano dalla cache, puoi utilizzare questo comando gcloud per disattivare DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Sostituisci EXAMPLE_ZONE con l'ID zona.

Passaggi successivi