Descripción general de las extensiones de seguridad de DNS (DNSSEC)

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son una función del sistema de nombres de dominio (DNS) que autentica las respuestas para búsquedas de nombres de dominio. No proporciona protección de la privacidad para esas búsquedas, pero evita que los atacantes manipulen o envenenen las respuestas a las solicitudes de DNS.

Para proteger los dominios contra la falsificación y los ataques de envenenamiento, habilita y configura DNSSEC en los siguientes lugares:

  1. La zona del DNS Si habilitas DNSSEC para una zona, Cloud DNS administra automáticamente la creación y rotación de claves DNSSEC (registros DNSKEY) y la firma de datos de zona con registros de firma digital del registro de recursos (RRSIG).

  2. El registro de dominio de nivel superior (TLD) (para example.com, debe ser .com). En tu registro de TLD, debes tener un registro DS que autentique un registro DNSKEY en tu zona. Para hacerlo, activa DNSSEC en tu registrador de dominios.

  3. El solucionador de DNS Para obtener la protección total de DNSSEC, debes usar un agente de resolución de DNS que valide las firmas para los dominios con firma de DNSSEC. Puedes habilitar la validación para sistemas individuales o tus agentes de resolución del almacenamiento en caché local si administras los servicios DNS de tu red.

    Para obtener más información sobre la validación de DNSSEC, consulta los siguientes recursos:

    También puedes configurar los sistemas para que usen agentes de resolución públicos que validen DNSSEC, especialmente DNS público de Google y DNS público de Verisign.

El segundo punto limita los nombres de dominio en los que DNSSEC puede trabajar. El registrador y el registro deben admitir DNSSEC para el TLD que usas. Si no puedes agregar un registro DS a través de tu registrador de dominios para habilitar DNSSEC, habilitar DNSSEC en Cloud DNS no tiene efecto.

Antes de habilitar DNSSEC, verifica los siguientes recursos:

  • La documentación de DNSSEC para tu registrador de dominios y el registro de TLD
  • Las instrucciones específicas del registrador de dominios del instructivo de la comunidad de Google Cloud
  • La lista de ICANN de la compatibilidad con las DNSSEC del registrador de dominios para confirmar la compatibilidad de las DNSSEC con tu dominio

Si el registro de TLD admite DNSSEC, pero tu registrador no lo hace (o no las admite para ese TLD), es posible que puedas transferir tus dominios a un registrador diferente que las admita. Una vez que hayas completado ese proceso, puedes activar DNSSEC para el dominio.

Operaciones de administración

Si desea obtener instrucciones paso a paso para administrar DNSSEC, consulta los siguientes recursos:

Tipos de conjuntos de registros mejorados con DNSSEC

Para obtener más información sobre los tipos de conjuntos de registros y otros tipos de registros, consulta los siguientes recursos:

  • Si quieres controlar qué autoridades certificadoras (CA) públicas pueden generar TLS o, también, otros certificados para tu dominio, consulta Registros CAA.

  • Para habilitar la encriptación oportunista a través de túneles IPsec, consulta Registros IPSECKEY.

Tipos de registro DNS con zonas protegidas con DNSSEC

Para obtener más información sobre los tipos de registros DNS y otros tipos de registros, consulta el siguiente recurso:

  • Para habilitar las aplicaciones cliente SSH a fin de validar los servidores SSH, consulta Registros SSHFP.

Migración o transferencia de zonas con DNSSEC habilitada

Cloud DNS admite la migración de zonas con DNSSEC habilitada en las que DNSSEC se activó en el registro del dominio sin romper la cadena de confianza. Puedes migrar zonas desde o hacia otros operadores DNS que también admitan la migración.

Si tu registrador aloja el dominio existente, recomendamos migrar los servidores de nombres a Cloud DNS antes de transferirlos a otro registrador.

¿Qué sigue?