Gerenciar configuração de DNSSEC

Nesta página, descrevemos como ativar e desativar as Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC, na sigla em inglês), verificar a implantação de DNSSEC e migrar zonas para e do Cloud DNS.

Consulte a visão geral das DNSSEC para ter uma visão geral conceitual das DNSSEC.

Como ativar DNSSEC para zonas gerenciadas atuais

Para ativar a DNSSEC para zonas públicas gerenciadas atuais, siga estas etapas.

Console

  1. No Console do Google Cloud, acesse a página do Cloud DNS.

    Acessar Cloud DNS

  2. Clique no nome da zona para a qual você quer ativar as DNSSEC.

  3. Na página Detalhes da zona, clique em Editar.

  4. Na página Edit a DNS zone, clique em DNSSEC.

  5. Em DNSSEC, selecione Ativado.

  6. Clique em Save.

O estado de DNSSEC selecionado para a zona é exibido na coluna DNSSEC na página Cloud DNS.

gcloud

Execute este comando:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

Substitua EXAMPLE_ZONE pelo ID da zona.

Python

Execute o comando a seguir:

def enable_dnssec(project_id, name, description=None):
client = dns.Client(project=project_id)
zone = client.zone(name=name)
zone.update(dnssec='on', description=description)

Ativar DNSSEC ao criar zonas

Para ativar o DNSSEC ao criar uma zona, siga estas etapas.

Console

  1. No Console do Google Cloud, acesse a página do Cloud DNS.

    Acessar Cloud DNS

  2. Clique em Criar zona.

  3. No campo Nome de zona, insira um nome.

  4. No campo Nome de DNS, insira um nome.

  5. Em DNSSEC, selecione Ativado.

  6. Opcional: adicione uma descrição.

  7. Clique em Criar.

    Criar zona com assinatura DNSSEC

gcloud

Execute este comando:

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Substitua EXAMPLE_ZONE pelo ID da zona.

Python

Execute o comando a seguir:

def create_signed_zone(project_id, name, dns_name, description):
client = dns.Client(project=project_id)
zone = client.zone(
    name,  # examplezonename
    dns_name=dns_name,  # example.com.
    description=description,
    dnssec='on')
zone.create()
return zone

Verificar a implantação de DNSSEC

Para verificar a implantação correta da sua zona habilitada para DNSSEC, verifique se você colocou o registro correto do DS na zona pai. A resolução DNSSEC poderá falhar se ocorrer uma das seguintes situações:

  • A configuração está errada ou você digitou incorretamente.
  • Você colocou o registro incorreto do DS na zona pai.

Para verificar se você tem a configuração correta no local e para verificar o registro do DS antes de colocá-lo na zona pai, use as seguintes ferramentas:

É possível usar o depurador DNSSEC da Verisign e os sites do Zonemaster para validar a configuração do DNSSEC antes de atualizar o registrador com os servidores de nome do Cloud DNS ou o registro DS. Um domínio configurado corretamente para DNSSEC é example.com, que pode ser visualizado usando o DNSViz.

Configurações de TTL recomendadas para zonas assinadas com DNSSEC

TTL é a vida útil (em segundos) de uma zona assinada pela DNSSEC.

Ao contrário das expirações TTL, que estão relacionadas ao horário em que um servidor de nomes envia uma resposta a uma consulta, as assinaturas de DNSSEC expiram em um horário fixo e absoluto. TTLs configuradas com mais tempo do que a vida útil da assinatura podem resultar em muitos clientes solicitando registros ao mesmo tempo quando a assinatura DNSSEC expira. Os TTLs muito curtos também podem causar problemas para os resolvedores de validação da DNSSEC.

Para mais recomendações sobre a seleção de TTL, consulte a Considerações de tempo da RFC 6781 seção 4.4.1 e a Figura 11 do RFC 6781.

Ao ler a seção 4.4.1 do RFC 6781, considere que muitos parâmetros de tempo de assinatura são fixados pelo Cloud DNS, e não é possível alterá-los. No momento, não é possível alterar os seguintes itens (sujeito a alteração sem aviso prévio ou atualização deste documento):

  • deslocamento de início = 1 dia
  • período de validade = 21 dias
  • período de reinscrição = 3 dias
  • período de atualização: 18 dias
  • intervalo de instabilidade = ½ dia (ou ± 6 horas)
  • validade mínima da assinatura = atualização – instabilidade = 17,75 dias = 1533600

Não é recomendado usar uma TTL com duração maior do que a validade mínima da assinatura.

Desativar DNSSEC para zonas gerenciadas

Depois de remover os registros DS e esperar até que eles expirem no cache, use o seguinte comando gcloud para desativar o DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Substitua EXAMPLE_ZONE pelo ID da zona.

DNSSEC, transferências de domínio e migração de zonas

Para zonas habilitadas em que a DNSSEC foi ativada no registro de domínio, consulte as etapas nas seções a seguir para garantir a operação adequada do domínio:

  • Quando ele for transferido para outro registrador (ou a propriedade for transferida).

  • Quando migrar a zona de DNS entre o Cloud DNS e outro operador de DNS.

A abordagem técnica que o Cloud DNS usa nessas migrações é a variante de substituição KSK Double-DS descrita em Rollovers de chaves de assinatura seção 4.1.2 do RFC 6781 (em inglês).

Para uma apresentação informativa sobre DNSSEC e transferências de domínio e possíveis problemas, consulte DNS/DNSSEC e transferências de domínio: eles são compatíveis?.

Migrar zonas com assinatura de DNSSEC para o Cloud DNS

Se você estiver migrando uma zona assinada pela DNSSEC para o Cloud DNS, verifique se o Cloud DNS é compatível com o mesmo algoritmo de KSK que já está em uso. Caso contrário, desative o DNSSEC no registrador de domínios antes de migrar a zona e atualize os registros do servidor de nomes no registrador para usar os servidores de nomes do Cloud DNS.

Se os algoritmos de KSK e ZSK atuais forem compatíveis com o Cloud DNS, siga estas etapas para realizar a migração com a DNSSEC ativada:

  1. Crie uma nova zona assinada pela DNSSEC no estado Transfer. O estado Transfer permite que você copie DNSKEYs manualmente para a zona.

  2. Exporte seus arquivos de zona e importe-os para a nova zona.

  3. Adicione as DNSKEYs (KSK e ZSK) dos arquivos da zona antiga.

    Também é possível usar o comando dig para consultar os outros servidores de nomes para registros de DNSKEY.

  4. Adicione o registro DS da nova zona ao seu registrador.

  5. Atualize os registros do servidor de nomes no registrador para os servidores de nomes do Cloud DNS da nova zona.

Sair do estado de transferência de DNSSEC

Antes de sair do estado de transferência da DNSSEC, aguarde até que as referências do servidor de nomes (NS e DS) ao Cloud DNS tenham sido propagadas para todos os servidores de nomes de registro autoritativos. Verifique também se o TTL expirou para todos os registros de recursos DNSSEC do servidor de nomes antigo (não apenas para os registros NS e DS da zona pai de registro, mas também registros DNSKEY, NSEC/NSEC3 e RRSIG da zona antiga). Certifique-se de remover os registros DNSKEY de transferência adicionados manualmente.

Em seguida, é possível alterar o estado de DNSSEC da zona de Transfer para On. Essa alteração ativa a rotação automática de ZSK na zona. Geralmente, suas zonas podem sair com segurança do estado de transferência da DNSSEC após uma semana e não necessitam permanecer no mesmo estado por mais de um ou dois meses.

Você também precisa remover o registro DS da antiga zona do operador de DNS no seu registrador.

Migrar zonas com assinatura de DNSSEC do Cloud DNS

Antes de migrar uma zona assinada pela DNSSEC para outro operador de DNS, verifique se a zona e o operador aceitam o mesmo algoritmo de KSK que você usa atualmente. Caso contrário, desative a DNSSEC no registrador de domínios antes de migrar a zona e atualize os registros do servidor de nomes no registrador para usar os novos servidores de nomes.

Se eles forem compatíveis com os mesmos algoritmos de KSK, preferencialmente os mesmos ZSK, e fornecerem uma maneira de copiar DNSKEYs atuais para a nova zona, será possível realizar a migração. Para isso, mantenha a DNSSEC ativada seguindo estas etapas:

  1. Altere o estado da DNSSEC de On para Transfer. Isso interrompe a rotação da ZSK.

  2. Exporte seu arquivo de zona (inclusive as DNSKEYs) e importe-o para a nova zona.

  3. Se as importações de DNSKEYs (KSK e ZSK) não tiverem sido concluídas, adicione-as manualmente.

    Use o comando dig para consultar os servidores de nomes do Cloud DNS da sua zona para registros DNSKEY:

    dig DNSKEY myzone.example.com. @ns-cloud-e1.googledomains.com.
    
  4. Ative a assinatura da DNSSEC para a nova zona e adicione um registro DS para a nova KSK no registrador.

    Se seu registrador não puder aceitar vários registros DS, conclua esta tarefa na etapa 6.

  5. Opcional: importe as novas DNSKEYs da zona nova para o Cloud DNS.

    Use um comando dig semelhante ao da etapa 3 para isso, mas pule as DNSKEYs que exportou do Cloud DNS.

  6. Para usar o novo operador de DNS, atualize os registros do servidor de nomes no registrador.

    Se você só puder substituir os registros DS no seu registrador, faça isso agora.

Se o outro operador de DNS tiver um processo para migrar uma zona assinada pela DNSSEC, como o Dyn (em inglês), execute as etapas dele em paralelo com este procedimento após a etapa 1.

Depois de concluir todas as etapas necessárias no outro operador de DNS, faça o seguinte:

  1. Atualize o estado da DNSSEC para Off ou exclua a zona no Cloud DNS para desativá-la.

  2. Remova o registro DS da zona do Cloud DNS do seu registrador.

A seguir