Gerenciar configuração de DNSSEC

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Esta página descreve como ativar e desativar as Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC, na sigla em inglês) e como verificar a implantação delas.

Consulte a visão geral das DNSSEC para ter uma visão geral conceitual das DNSSEC.

Como ativar DNSSEC para zonas gerenciadas atuais

Para ativar a DNSSEC para zonas públicas gerenciadas atuais, siga estas etapas.

Console

  1. No Console do Google Cloud, acesse a página do Cloud DNS.

    Acessar Cloud DNS

  2. Clique no nome da zona para a qual você quer ativar as DNSSEC.

  3. Na página Detalhes da zona, clique em Editar.

  4. Na página Edit a DNS zone, clique em DNSSEC.

  5. Em DNSSEC, selecione Ativado.

  6. Clique em Save.

O estado de DNSSEC selecionado para a zona é exibido na coluna DNSSEC na página Cloud DNS.

gcloud

Execute este comando:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

Substitua EXAMPLE_ZONE pelo ID da zona.

Python

Execute o comando a seguir:

def enable_dnssec(project_id, name, description=None):
client = dns.Client(project=project_id)
zone = client.zone(name=name)
zone.update(dnssec='on', description=description)

Ativar DNSSEC ao criar zonas

Para ativar o DNSSEC ao criar uma zona, siga estas etapas.

Console

  1. No Console do Google Cloud, acesse a página do Cloud DNS.

    Acessar Cloud DNS

  2. Clique em Criar zona.

  3. No campo Nome de zona, insira um nome.

  4. No campo Nome de DNS, insira um nome.

  5. Em DNSSEC, selecione Ativado.

  6. Opcional: adicione uma descrição.

  7. Clique em Criar.

    Criar zona com assinatura DNSSEC

gcloud

Execute este comando:

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Substitua EXAMPLE_ZONE pelo ID da zona.

Python

Execute o comando a seguir:

def create_signed_zone(project_id, name, dns_name, description):
client = dns.Client(project=project_id)
zone = client.zone(
    name,  # examplezonename
    dns_name=dns_name,  # example.com.
    description=description,
    dnssec='on')
zone.create()
return zone

Verificar a implantação de DNSSEC

Para verificar a implantação correta da sua zona habilitada para DNSSEC, verifique se você colocou o registro correto do DS na zona pai. A resolução DNSSEC poderá falhar se ocorrer uma das seguintes situações:

  • A configuração está errada ou você digitou incorretamente.
  • Você colocou o registro incorreto do DS na zona pai.

Para verificar se você tem a configuração correta no local e para verificar o registro do DS antes de colocá-lo na zona pai, use as seguintes ferramentas:

É possível usar o depurador DNSSEC da Verisign e os sites do Zonemaster para validar a configuração do DNSSEC antes de atualizar o registrador com os servidores de nome do Cloud DNS ou o registro DS. Um domínio configurado corretamente para DNSSEC é example.com, que pode ser visualizado usando o DNSViz.

Configurações de TTL recomendadas para zonas assinadas com DNSSEC

TTL é a vida útil (em segundos) de uma zona assinada pela DNSSEC.

Ao contrário das expirações TTL, que estão relacionadas ao horário em que um servidor de nomes envia uma resposta a uma consulta, as assinaturas de DNSSEC expiram em um horário fixo e absoluto. TTLs configuradas com mais tempo do que a vida útil da assinatura podem resultar em muitos clientes solicitando registros ao mesmo tempo quando a assinatura DNSSEC expira. Os TTLs muito curtos também podem causar problemas para os resolvedores de validação da DNSSEC.

Para mais recomendações sobre a seleção de TTL, consulte a Considerações de tempo da RFC 6781 seção 4.4.1 e a Figura 11 do RFC 6781.

Ao ler a seção 4.4.1 do RFC 6781, considere que muitos parâmetros de tempo de assinatura são fixados pelo Cloud DNS, e não é possível alterá-los. No momento, não é possível alterar os seguintes itens (sujeito a alteração sem aviso prévio ou atualização deste documento):

  • deslocamento de início = 1 dia
  • período de validade = 21 dias
  • período de reinscrição = 3 dias
  • período de atualização: 18 dias
  • intervalo de instabilidade = ½ dia (ou ± 6 horas)
  • validade mínima da assinatura = atualização – instabilidade = 17,75 dias = 1533600

Não é recomendado usar uma TTL com duração maior do que a validade mínima da assinatura.

Desativar DNSSEC para zonas gerenciadas

Depois de remover os registros DS e esperar até que eles expirem no cache, use o seguinte comando gcloud para desativar o DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Substitua EXAMPLE_ZONE pelo ID da zona.

A seguir