Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son una función del sistema de nombres de dominio (DNS) que autentica las respuestas para búsquedas de nombres de dominio. No proporciona protección de la privacidad para esas búsquedas, pero evita que los atacantes manipulen o envenenen las respuestas a las solicitudes de DNS.
Para proteger los dominios de los ataques de falsificación de identidad y envenenamiento, habilita y configura DNSSEC en los siguientes lugares:
La zona del DNS. Si habilita las DNSSEC para en una zona, Cloud DNS administra automáticamente la creación y rotación de Claves DNSSEC (registros DNSKEY) y firma de datos de zona con recursos puede crear registros de firma digital (RRSIG).
El registro de dominio de nivel superior (TLD) (para
example.com
, debe ser.com
). En tu registro de TLD, debes tener un registro DS que autentique un registro DNSKEY en tu zona. Para hacerlo, activa DNSSEC en tu registrador de dominios.El solucionador de DNS Para obtener la protección total de DNSSEC, debes usar un agente de resolución de DNS que valide las firmas para los dominios con firma de DNSSEC. Puedes habilitar la validación para sistemas individuales o tus agentes de resolución de almacenamiento en caché local si administrar los servicios de DNS de tu red.
Para obtener más información sobre la validación de DNSSEC, consulta los siguientes recursos:
- ¿Tiene habilitada la validación de DNSSEC?
- Implementa DNSSEC con BIND y Ubuntu Server (Parte 1)
- Guía de DNSSEC: Capítulo 3. Validación
- DNSSEC
También puedes configurar los sistemas para que usen agentes de resolución públicos que validen DNSSEC, especialmente DNS público de Google y DNS público de Verisign.
El segundo punto limita los nombres de dominio en los que DNSSEC puede trabajar. El registrador y el registro deben admitir DNSSEC para el TLD que usas. Si no puedes agregar un registro DS a través de tu registrador de dominios para habilitar DNSSEC, habilitar DNSSEC en Cloud DNS no tiene efecto.
Antes de habilitar DNSSEC, verifica los siguientes recursos:
- La documentación de DNSSEC para tu registrador de dominios y el registro de TLD
- Las instrucciones específicas del registrador de dominios del instructivo de la comunidad de Google Cloud
- La lista de la ICANN de compatibilidad con DNSSEC del registrador de dominios para confirmar la compatibilidad de DNSSEC con tu dominio.
Si el registro de TLD admite DNSSEC, pero tu registrador no lo hace (o no las admite para ese TLD), es posible que puedas transferir tus dominios a un registrador diferente que las admita. Una vez que hayas completado ese proceso, puedes activar DNSSEC para el dominio.
Operaciones de administración
Si desea obtener instrucciones paso a paso para administrar DNSSEC, consulta los siguientes recursos:
Para cambiar el estado de DNSSEC de la zona de
Transfer
aOn
, consulta Abandona el estado de transferencia de DNSSEC.Si deseas habilitar DNSSEC para subdominios delegados, consulta Delega subdominios con firma de DNSSEC.
Tipos de conjuntos de registros mejorados con DNSSEC
Para obtener más información sobre los tipos de conjuntos de registros y otros tipos de registros, consulta los siguientes recursos:
Si quieres controlar qué autoridades certificadoras (CA) públicas pueden generar TLS o, también, otros certificados para tu dominio, consulta Registros CAA.
Para habilitar la encriptación oportunista a través de túneles IPsec, consulta Registros IPSECKEY.
Tipos de registro DNS con zonas protegidas con DNSSEC
Para obtener más información sobre los tipos de registros DNS y otros tipos de registros, consulta el siguiente recurso:
- Para habilitar las aplicaciones cliente SSH a fin de validar los servidores SSH, consulta Registros SSHFP.
Migración o transferencia de zonas con DNSSEC habilitada
Cloud DNS admite la migración de zonas con DNSSEC habilitada en las que DNSSEC se activó en el registro del dominio sin romper la cadena de confianza. Puedes migrar zonas desde o hacia otros operadores DNS que también admitan la migración.
Para migrar una zona con firma de DNSSEC a Cloud DNS, consulta Migra zonas con firma de DNSSEC a Cloud DNS.
Para migrar una zona con firma de DNSSEC a otro operador de DNS, consulta Migra zonas con firma de DNSSEC desde Cloud DNS.
Si tu registrador aloja el dominio existente, recomendamos migrar los servidores de nombres a Cloud DNS antes de transferirlos a otro registrador.
¿Qué sigue?
- Para ver los registros de claves de DNSSEC, consulta Visualiza claves de DNSSEC.
- Para trabajar con zonas administradas, consulta Crea, modifica y borra zonas.
- Para encontrar soluciones a problemas comunes que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
- Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.