Gestire la configurazione DNSSEC

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

In questa pagina viene descritto come attivare e disattivare le estensioni DNSSEC (Domain Name System Security Extensions) e come verificare il deployment di DNSSEC.

Per una panoramica concettuale di DNSSEC, consulta la panoramica di DNSSEC.

Abilita DNSSEC per le zone pubbliche gestite esistenti

Per abilitare DNSSEC per le zone pubbliche gestite esistenti, segui questi passaggi.

console

  1. In Google Cloud Console, vai alla pagina Cloud DNS.

    Vai a Cloud DNS

  2. Fai clic sul nome della zona per cui vuoi abilitare DNSSEC.

  3. Nella pagina Dettagli zona, fai clic su Modifica.

  4. Nella pagina Modifica una zona DNS, fai clic su DNSSEC.

  5. In DNSSEC, seleziona On.

  6. Fai clic su Salva.

Lo stato DNSSEC selezionato per la zona viene visualizzato nella colonna DNSSEC nella pagina Cloud DNS.

gcloud

Esegui questo comando:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

Sostituisci EXAMPLE_ZONE con l'ID zona.

Python

Esegui questo comando:

def enable_dnssec(project_id, name, description=None):
client = dns.Client(project=project_id)
zone = client.zone(name=name)
zone.update(dnssec='on', description=description)

Abilita DNSSEC durante la creazione delle zone

Per abilitare DNSSEC quando crei una zona, segui questi passaggi.

console

  1. In Google Cloud Console, vai alla pagina Cloud DNS.

    Vai a Cloud DNS

  2. Fai clic su Crea zona.

  3. Nel campo Nome zona, inserisci un nome.

  4. Nel campo Nome DNS, inserisci un nome.

  5. In DNSSEC, seleziona On.

  6. (Facoltativo) Aggiungi una descrizione.

  7. Fai clic su Crea.

    Crea zona con firma DNSSEC

gcloud

Esegui questo comando:

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Sostituisci EXAMPLE_ZONE con l'ID zona.

Python

Esegui questo comando:

def create_signed_zone(project_id, name, dns_name, description):
client = dns.Client(project=project_id)
zone = client.zone(
    name,  # examplezonename
    dns_name=dns_name,  # example.com.
    description=description,
    dnssec='on')
zone.create()
return zone

Verificare il deployment DNSSEC

Per verificare il deployment corretto della zona abilitata per DNSSEC, assicurati di aver inserito il record DS corretto nella zona padre. La risoluzione DNSSEC può non riuscire se si verifica una delle seguenti condizioni:

  • La configurazione è errata o non è stata digitata correttamente.
  • Hai inserito il record DS errato nella zona padre.

Per verificare di avere configurato la configurazione corretta e eseguire un controllo incrociato del record DS prima di inserirlo nella zona padre, utilizza i seguenti strumenti:

Puoi utilizzare il debugger di Verisign DNSSEC e i siti Zonemaster per convalidare la configurazione di DNSSEC prima di aggiornare il registrar con i server dei nomi o il record DS di Cloud DNS. Un dominio configurato correttamente per DNSSEC è example.com, visualizzabile tramite DNSViz.

Impostazioni TTL consigliate per le zone con firma DNSSEC

Il TTL è la durata (in secondi) di una zona con firma DNSSEC.

A differenza delle scadenze TTL, che riguardano l'ora in cui un server dei nomi invia una risposta a una query, le firme DNSSEC scadono a un orario fisso fisso. Se i TTL sono più lunghi della durata di una firma, è possibile che molti client richiedano record contemporaneamente alla scadenza della firma DNSSEC. I TTL brevi possono anche causare problemi ai resolver con convalida DNSSEC.

Per ulteriori suggerimenti sulla selezione di TTL, consulta la sezione 4.4.1 Considerazioni sul tempo di RFC 6781 e la Figura 11 della RFC 6781.

Durante la lettura della sezione 4.4.1 di RFC 6781, tieni presente che molti parametri relativi al tempo di firma sono fissi da Cloud DNS e non è possibile modificarli. Al momento, non puoi modificare quanto segue (soggetta a modifica senza preavviso o aggiornamento al presente documento):

  • Offset iniziale = 1 giorno
  • Periodo di validità = 21 giorni
  • Periodo di nuova firma = 3 giorni
  • Periodo di aggiornamento = 18 giorni
  • Intervallo di tremolio = 1⁄2 giorno (o ±6 ore)
  • Validità minima della firma = aggiorna – tremolio = 17,75 giorni = 1533600

Non devi mai utilizzare un TTL superiore alla validità minima della firma.

Disabilita DNSSEC per le zone gestite

Dopo aver rimosso i record DS e aspettato che scadano dalla cache, puoi utilizzare il seguente comando gcloud per disattivare DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Sostituisci EXAMPLE_ZONE con l'ID zona.

Passaggi successivi