Panoramica delle estensioni DNSSEC (Domain Name System Security Extensions)

DNSSEC (Domain Name System Security Extensions) è una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche dei nomi di dominio. Non fornisce protezioni della privacy per queste ricerche, ma impedisce agli utenti malintenzionati di manipolare o avvelenare le risposte alle richieste DNS.

Per proteggere i domini da attacchi di spoofing e poisoning, abilita e configura DNSSEC nelle posizioni seguenti:

  1. La zona DNS. Se abiliti DNSSEC per una zona, Cloud DNS gestisce automaticamente la creazione e la rotazione Chiavi DNSSEC (record DNSKEY) e firma dei dati di zona con risorsa record di firma digitale (RRSIG).

  2. Il registry del dominio di primo livello (TLD) (per example.com, si tratta di .com). Nel registry del TLD, devi avere un record DS che autentica un record DNSKEY nella tua zona. A tal fine, attiva DNSSEC nel registrar del tuo dominio.

  3. Il resolver DNS. Per una protezione DNSSEC completa, devi usare un resolver DNS che convalida le firme per i domini con firma DNSSEC. Puoi attivare per i singoli sistemi o i resolver di memorizzazione nella cache locali, amministrano i servizi DNS della rete.

    Per ulteriori informazioni sulla convalida delle DNSSEC, consulta le seguenti risorse:

    Puoi anche configurare i sistemi in modo che utilizzino resolver pubblici che convalidano DNSSEC, tra cui Google Public DNS e Verisign Public DNS.

Il secondo punto limita i nomi di dominio in cui può funzionare DNSSEC. Sia il registrar che il registry deve supportare DNSSEC per il dominio di primo livello che stai utilizzando. Se non riesci ad aggiungere un DS registrare tramite il tuo registrar di domini per attivare DNSSEC L'abilitazione di DNSSEC in Cloud DNS non ha alcun effetto.

Prima di attivare DNSSEC, consulta le seguenti risorse:

  • La documentazione DNSSEC sia per il registrar del dominio sia per il registry dei TLD
  • Il tutorial della community Google Cloud specifico per il registrar di domini istruzioni
  • L'elenco ICANN del supporto DNSSEC dei registrar di domini per verificare il supporto DNSSEC per il tuo dominio.

Se il registry del TLD supporta DNSSEC, ma il tuo registrar no (o non lo supporta per quel TLD), potresti essere in grado di trasferire i tuoi domini a un altro registrar che lo supporta. Al termine della procedura, puoi attivare DNSSEC per il dominio.

Operazioni di gestione

Per istruzioni dettagliate sulla gestione di DNSSEC, consulta le seguenti risorse:

Tipi di set di record ottimizzati da DNSSEC

Per ulteriori informazioni sui tipi di set di record e su altri tipi di record, consulta le seguenti risorse:

  • Per controllare quali autorità di certificazione pubbliche (CA) possono generare certificati TLS o altri certificati per il tuo dominio, consulta Record CAA.

  • Per attivare la crittografia opportunistica tramite i tunnel IPsec, consulta Record IPSECKEY.

Tipi di record DNS con zone protette da DNSSEC

Per ulteriori informazioni sui tipi di record DNS e su altri tipi di record, consulta la seguente risorsa:

  • Per consentire alle applicazioni client SSH di convalidare i server SSH, consulta Record SSHFP.

Migrazione o trasferimento di zone abilitate per DNSSEC

Cloud DNS supporta la migrazione di zone abilitate per DNSSEC in cui DNSSEC siano state attivate nel registro dei domini senza interrompere la catena di attendibilità. Puoi eseguire la migrazione delle zone verso o da altri operatori DNS che supportano anche la migrazione.

Se il tuo dominio esistente è ospitato dal registrar, ti consigliamo di eseguire la migrazione server dei nomi in Cloud DNS prima del trasferimento a un altro registrar.

Passaggi successivi