Gestisci la configurazione DNSSEC

In questa pagina viene descritto come attivare e disattivare le estensioni DNSSEC (Domain Name System Security Extensions) e verificare il deployment di DNSSEC.

Per una panoramica concettuale delle DNSSEC, consulta la panoramica di DNSSEC.

Abilita DNSSEC per zone pubbliche gestite esistenti

Per abilitare le DNSSEC per le zone pubbliche gestite esistenti, segui questi passaggi.

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

Abilita DNSSEC durante la creazione delle zone

Per abilitare le DNSSEC quando crei una zona, segui questi passaggi.

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Verifica il deployment di DNSSEC

Per verificare il corretto deployment della zona abilitata per DNSSEC, assicurati di aver inserito il record DS corretto nella zona padre. La risoluzione delle DNSSEC può non riuscire se si verifica una delle seguenti condizioni:

• La configurazione è errata o non l'hai digitata correttamente.
• Hai inserito il record DS errato nella zona principale.

Per verificare la corretta configurazione e per eseguire un controllo incrociato del record DS prima di posizionarlo nella zona padre, utilizza i seguenti strumenti:

• DNSViz
• Debugger DNSSEC Verisign
• Zonemaster

Puoi utilizzare il debugger di DNSSEC Verisign e i siti Zonemaster per convalidare la configurazione DNSSEC prima di aggiornare il registrar con i server dei nomi Cloud DNS o il record DS. Un dominio configurato correttamente per le DNSSEC è example.com, visibile tramite DNSViz.

Impostazioni TTL consigliate per le zone con firma DNSSEC

TTL è la durata (in secondi) di una zona con firma DNSSEC.

A differenza delle scadenze TTL, relative al momento in cui un server dei nomi invia una risposta a una query, le firme DNSSEC scadono a un tempo assoluto fisso. I TTL configurati più di una durata della firma possono portare molti client a richiedere record contemporaneamente alla scadenza della firma DNSSEC. TTL brevi possono anche causare problemi ai resolver che convalidano le DNSSEC.

Per ulteriori suggerimenti sulla selezione del TTL, consulta le sezioni RFC 6781 section 4.4.1 Time Considerations e RFC 6781 Figure 11.

Durante la lettura della sezione 4.4.1 di RFC 6781, tieni presente che molti parametri relativi al tempo di firma vengono corretti da Cloud DNS e non puoi modificarli. Non puoi modificare i seguenti parametri (soggetto a modifiche senza preavviso o aggiornamenti del documento):

• Offset inizio = 1 giorno
• Periodo di validità = 21 giorni
• Periodo di firma = 3 giorni
• Periodo di aggiornamento = 18 giorni
• Intervallo jitter = 1⁄2 giorno (o ±6 ore)
• Validità minima della firma = aggiornamento – tremolio = 17,75 giorni = 1533600

Non devi mai utilizzare un TTL superiore alla validità minima della firma.

Disabilita DNSSEC per zone gestite

Dopo aver rimosso i record DS e atteso la loro scadenza dalla cache, puoi utilizzare il seguente comando gcloud per disattivare le DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Sostituisci EXAMPLE_ZONE con l'ID zona.

Passaggi successivi

• Per informazioni su configurazioni DNSSEC specifiche, consulta Utilizzare le DNSSEC avanzate.
• Per lavorare con le zone gestite, consulta Creare, modificare ed eliminare zone.
• Per trovare soluzioni ai problemi comuni che potresti riscontrare quando utilizzi Cloud DNS, consulta Risoluzione dei problemi.
• Per una panoramica di Cloud DNS, consulta la panoramica di Cloud DNS.