Descripción general de las extensiones de seguridad de DNS (DNSSEC)

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son una función del sistema de nombres de dominio (DNS) que autentica las respuestas para búsquedas de nombres de dominio. No proporciona protección de la privacidad para esas búsquedas, pero evita que los atacantes manipulen o envenenen las respuestas a las solicitudes de DNS.

Existen tres lugares en los que debes habilitar y configurar DNSSEC para proteger los dominios contra la falsificación y los daños:

  1. La zona DNS de tu dominio debe entregar registros DNSSEC especiales para claves públicas (DNSKEY), firmas (RRSIG) y denegación de existencia (NSEC, o NSEC3 y NSEC3PARAM) a fin de autenticar el contenido de tu zona. Cloud DNS administra esto automáticamente si habilitas DNSSEC para una zona.

  2. El registro de dominio de nivel superior (TLD) (para example.com, debe ser .com) debe tener un registro DS con el que se autentique un registro DNSKEY en tu zona. Para hacerlo, activa DNSSEC en tu registrador de dominios.

  3. Para obtener la protección total de DNSSEC, debes usar un agente de resolución de DNS que valide las firmas para los dominios con firma de DNSSEC. Puedes habilitar la validación para sistemas individuales o tus agentes de resolución del almacenamiento en caché local si administras los servicios DNS de tu red.

    Para obtener más información sobre la validación de DNSSEC, consulta los siguientes recursos:

    También puedes configurar los sistemas para que usen agentes de resolución públicos que validen DNSSEC, especialmente DNS público de Google y DNS público de Verisign.

El segundo punto limita los nombres de dominio en los que DNSSEC puede trabajar. El registrador y el registro deben admitir DNSSEC para el TLD que usas. Si no puedes agregar un registro DS a través de tu registrador de dominios para habilitar DNSSEC, habilitar DNSSEC en Cloud DNS no tiene efecto.

Antes de habilitar DNSSEC, verifica los siguientes recursos:

  • La documentación de DNSSEC para tu registrador de dominios y el registro de TLD
  • Las instrucciones específicas del registrador de dominios del instructivo de la comunidad de Google Cloud
  • La lista de ICANN de la compatibilidad con las DNSSEC del registrador de dominios para confirmar la compatibilidad de las DNSSEC con tu dominio

Si el registro de TLD admite DNSSEC, pero tu registrador no lo hace (o no las admite para ese TLD), es posible que puedas transferir tus dominios a un registrador diferente que las admita. Una vez que hayas completado ese proceso, puedes activar DNSSEC para el dominio.

Operaciones de administración

Si desea obtener instrucciones paso a paso para administrar DNSSEC, consulta los siguientes recursos:

Tipos de conjuntos de registros mejorados con DNSSEC

Para obtener más información sobre los tipos de conjuntos de registros y otros tipos de registros, consulta los siguientes recursos:

  • Si quieres controlar qué autoridades certificadoras (CA) públicas pueden generar TLS o, también, otros certificados para tu dominio, consulta Registros CAA.

  • Para habilitar la encriptación oportunista a través de túneles IPsec, consulta Registros IPSECKEY.

Usa los nuevos tipos de registro DNS con las zonas protegidas por DNSSEC

Para obtener más información sobre los tipos de registros DNS y otros tipos de registros, consulta el siguiente recurso:

  • Para habilitar las aplicaciones cliente SSH a fin de validar los servidores SSH, consulta Registros SSHFP.

¿Qué sigue?