Migrar ou transferir zonas ativadas para DNSSEC

Nesta página, descrevemos como migrar uma zona ativada para DNSSEC ativada no registrador de domínios entre o Cloud DNS e outros provedores de hospedagem DNS, mantendo a cadeia de confiança da DNSSEC.

Consulte a visão geral das DNSSEC para ter uma visão geral conceitual das DNSSEC.

Antes de começar

A migração das DNSSEC é complexa e requer coordenação para migrar uma zona entre operadores sem causar interrupções. Leia este guia na íntegra antes de transferir ou migrar uma zona. Recomendamos que você teste o processo de migração em uma zona menos crítica antes de tentar migrar de zonas de produção críticas.

Para impedir que os resolvedores de validação trate o domínio como inválido, você precisa coordenar a migração com os operadores DNS e o registrador de domínios. Isso garante que você estabeleça e mantenha uma cadeia válida da zona pai nas chaves gerenciadas por ambos os operadores de DNS durante a transição.

Se o registrador de domínios também oferece hospedagem de DNS, coordene-a com o registrador do domínio para migrar a cadeia de confiança das DNSSEC. Se o registrador não for compatível com essa operação, não será possível migrar os servidores de nomes mantendo a cadeia de confiança das DNSSEC.

Durante a migração, depois de fazer atualizações críticas de registro, aguarde o cache do resolvedor expirar. Isso evita erros de validação causados por registros antigos armazenados em cache inconsistentes com a zona atualizada após a migração para os novos servidores de nomes.

Limitações

A migração de uma zona das DNSSEC tem as seguintes limitações:

  • Só será possível migrar uma zona mantendo a cadeia de confiança das DNSSEC se o novo operador e registrador forem compatíveis com a migração das DNSSEC, incluindo a importação de registros DNSKEY, a configuração de vários registros DS e a prevenção da rotação automática de chaves durante a migração.

  • Use o mesmo algoritmo em ambos os operadores, já que as zonas precisam ser assinadas com todos os algoritmos em uso. Veja mais detalhes na seção 2.2 da RFC 4035. O Cloud DNS só pode assinar com um algoritmo por vez. Não é possível alterar os algoritmos durante a migração entre provedores.

  • Você precisa importar registros DNSKEY do Cloud DNS para a zona do outro operador e fazer com que eles sejam assinados com as chaves do operador. O Cloud DNS permite adicionar registros DNSKEY para zonas no modo Transfer.

  • Você precisa adicionar um segundo registro DS do Cloud DNS à zona pai. O registrador ou a zona pai precisa permitir registros DS que correspondam a chaves públicas que não assinam nenhum registro na zona filha.

  • É preciso interromper a rotação de chaves automatizada pelo operador antigo ou novo da zona até que a migração seja concluída. O Cloud DNS interrompe automaticamente a rotação de chaves para zonas no modo Transfer.

Se o novo operador não for compatível com a migração, faça o seguinte:

  1. Desative as DNSSEC no seu registrador.
  2. Faça a transferência ou migração.
  3. Ativar as DNSSEC
  4. Ative as DNSSEC no seu registrador.

Para uma apresentação informativa sobre DNSSEC e transferências de domínio e possíveis problemas, consulte DNS/DNSSEC e transferências de domínio: eles são compatíveis?.

Migração entre operadores

A abordagem técnica que o Cloud DNS usa nas migrações das DNSSEC é a variante de substituição KSK do DS-DS descrita no RFC 6781 Apêndice D da abordagem alternativa de substituição para os operadores cooperativos.

A migração das DNSSEC funciona sem a troca de chaves privadas ou assinaturas entre operadores de DNS. Em vez disso, os servidores de nomes e a zona pai atuais pré-publicam registros assinados para as chaves públicas do novo operador, além das chaves públicas do operador antigo. Da mesma forma, os novos servidores de nomes publicam registros assinados para as chaves do operador antigo, além das chaves do novo operador.

Essas chaves do outro operador são assinadas criando a confiança cruzada entre os dois operadores e a zona pai, de modo que os validadores da validação possam usar registros de um operador para validar respostas do outro operador. Isso permite a transição para os novos servidores de nomes de operadores sem interrupção.

Depois que esses registros forem propagados, os resolvedores poderão validar respostas de ambos os operadores durante o período de transição subsequente, enquanto os novos registros de delegação do servidor de nomes serão propagados para todos os caches do resolvedor.

Depois que os registros do servidor de nomes atualizados forem propagados, você poderá finalizar a migração. É possível remover a zona filha dos servidores de nomes antigos e remover a âncora de confiança do operador antigo da zona pai.

Migrar zonas com assinatura de DNSSEC para o Cloud DNS

Antes de começar, revise todas as instruções. Você também precisa verificar se seu provedor é compatível com a migração. Caso contrário, não será possível migrar a zona usando esse processo.

Para fazer a migração, siga estas etapas:

  1. Interromper todas as rotações de chaves da zona no antigo servidor de nomes.

  2. Crie uma nova zona assinada pela DNSSEC no estado Transfer. O estado Transfer interrompe a rotação de chaves e permite a importação de DNSKEY.

    É necessário usar os mesmos algoritmos em uso no provedor atual.

  3. Exporte seus arquivos de zona não assinados e importe-os para a nova zona.

    Siga as instruções do seu provedor para exportar os dados da zona.

    É possível incluir DNSKEYs nesta etapa, mas não inclua outros tipos de registro DNSSEC da zona existente (CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM ou RRSIG).

    É possível importar zonas usando o comando gcloud dns record-sets import.

  4. Recupere os registros DNSKEY anteriores do servidor de nomes antigo.

    Também é possível usar dig ou delv para consultar registros DNSKEY, mas é necessário verificar se as chaves públicas retornadas estão corretas e são válidas para sua zona.

  5. Recupere os novos registros DNSKEY do Cloud DNS. No modo Transfer, os registros DNSKEY aparecem como registros normais na zona.

  6. Adicione os registros DNSKEY existentes à zona do Cloud DNS, além dos registros DNSKEY gerados automaticamente.

    Você também pode importar DNSKEYs durante a etapa 3 e pular esta etapa se seu provedor exportar DNSKEYs junto com o restante dos dados da zona.

  7. Adicione os novos registros DNSKEY do Cloud DNS à zona no operador atual. Certifique-se de assinar novamente a zona, se necessário.

  8. Adicione o registro DS da zona do Cloud DNS ao registrador, além do registro DS atual.

  9. Aguarde até que os novos registros se propaguem e os registros antigos expirem em todos os caches de resolução. Caso contrário, dados desatualizados podem causar falhas de validação.

    Aguarde o seguinte:

    • Os registros são propagados para todos os servidores de nomes usados pelo operador antigo.

    • O TTL do conjunto de registros NS da zona mãe expira.

    • O TTL do conjunto de registros de DS da zona mãe expira.

    • O TTL do conjunto de registros NS da zona filha no operador antigo expira.

    • O TTL do conjunto de registros DNSKEY da zona filha no operador antigo expira.

  10. Verifique se a zona está pronta verificar se o operador antigo está veiculando todos os registros DNSKEY e se a zona pai está exibindo os dois registros DS.

  11. Altere as delegações do servidor de nomes para apontar para o Cloud DNS.

    Atualize os registros do servidor de nomes no registrador para os servidores de nomes do Cloud DNS da nova zona.

  12. Aguarde até que os novos registros do servidor de nomes sejam propagados e os registros de delegação antigos expirem de todos os caches do resolvedor. Caso contrário, dados desatualizados podem causar falhas de validação.

    Aguarde o seguinte:

    • O TTL do conjunto de registros NS da zona mãe expira.

    • O TTL do conjunto de registros NS da zona filha no operador antigo expira.

    Depois desta etapa, você pode parar de veicular a zona com segurança no operador antigo.

  13. Remova os registros DNSKEY da zona antiga adicionados à zona do Cloud DNS.

  14. Altere o estado das DNSSEC da zona de Transfer para On.

    Sair do estado de transferência ativa a rotação automática de chaves para a zona. Geralmente, suas zonas podem sair com segurança do estado de transferência da DNSSEC após uma semana e não necessitam permanecer no mesmo estado por mais de um ou dois meses.

  15. Remova o registro DS da zona do operador antigo do seu registrador.

Migrar zonas com assinatura de DNSSEC do Cloud DNS

Antes de começar a migração, revise todas as instruções. Você também precisa verificar se seu provedor é compatível com a migração. Caso contrário, não será possível migrar a zona usando esse processo.

Para fazer a migração, siga estas etapas:

  1. Altere o estado da DNSSEC de On para Transfer. Isso interrompe a rotação da chave.

  2. Exporte e importe seu arquivo de zona para o novo operador.

    Use gcloud dns record-sets export para exportar uma zona.

    Exportar uma zona no modo Transfer também exporta registros DNSKEY do Cloud DNS. Caso seu provedor aceite DNSKEY nesta etapa, inclua-o agora e pule as etapas abaixo que transferem chaves públicas do Cloud DNS para o novo provedor.

  3. Assine a zona no novo provedor.

    É preciso usar os mesmos algoritmos que o Cloud DNS usa no novo provedor.

    A rotação de chaves da zona no novo servidor de nomes precisa ser interrompida até que a migração seja concluída.

  4. Recupere os registros DNSKEY do Cloud DNS. No modo Transfer, os registros DNSKEY aparecem como registros normais na zona.

    Também é possível usar dig ou delv para consultar os servidores de nomes do Cloud DNS para registros DNSKEY, mas é preciso verificar se as chaves públicas retornadas estão corretas e são válidas para sua zona.

  5. Recupere os novos registros DNSKEY do novo operador.

    Talvez seja necessário primeiro assinar a zona ou configurar as DNSSEC para receber chaves.

  6. Adicione os registros DNSKEY do Cloud DNS à zona do novo operador, além dos registros DNSKEY da nova zona.

  7. Adicione os registros DNSKEY do novo operador ao Cloud DNS.

  8. Adicione o registro DS da zona do novo operador ao registrador, além do registro DS atual do Cloud DNS.

  9. Aguarde até que os novos registros se propaguem e os registros antigos expirem em todos os caches de resolução. Caso contrário, dados desatualizados podem causar falhas de validação.

    Aguarde o seguinte:

    • O TTL do conjunto de registros NS da zona mãe expira.

    • O TTL do conjunto de registros de DS da zona mãe expira.

    • O TTL do conjunto de registros NS da zona do Cloud DNS expira.

    • O TTL do conjunto de registros DNSKEY da zona do Cloud DNS expira.

    É possível verificar se a zona está pronta verificando se o Cloud DNS está veiculando todos os registros DNSKEY e se a zona pai está veiculando os dois registros DS.

  10. Migre as delegações do servidor de nomes para apontar para o novo operador.

    Atualize os registros do servidor de nomes no registrador para os servidores de nomes do novo operador da zona.

  11. Aguarde até que os novos registros do servidor de nomes sejam propagados e os registros de delegação antigos expirem de todos os caches do resolvedor. Caso contrário, dados desatualizados podem causar falhas de validação.

    Aguarde até que todos os itens abaixo expirem:

    • O TTL do conjunto de registros NS da zona pai.

    • O TTL do conjunto de registros NS da zona do Cloud DNS.

    Após essa etapa, você pode excluir a zona do Cloud DNS com segurança.

  12. Remova os registros DNSKEY do Cloud DNS adicionados à nova zona.

  13. Remova o registro DS do Cloud DNS do seu registrador.

  14. Conclua a migração no novo operador, conforme necessário.

Se o outro operador de DNS tiver um processo para migrar uma zona assinada pela DNSSEC, execute as etapas dele em paralelo com este procedimento após a etapa 1.

A seguir