Seguridad de DNS (DNSSEC)

DNSSEC es una característica del sistema de nombres de dominio que autentica respuestas para búsquedas de nombres de dominio. No proporciona protección de la privacidad para esas búsquedas, pero evita que los atacantes manipulen o envenenen las respuestas a las solicitudes de DNS.

Los siguientes son tres lugares en los que es necesario habilitar y configurar DNSSEC para proteger los dominios contra la falsificación y los ataques de envenenamiento:

  1. En la zona de DNS de tu dominio, se deben entregar registros DNSSEC especiales para claves públicas (DNSKEY), firmas (RRSIG) y denegación de existencia (NSEC, o NSEC3 y NSEC3PARAM) a fin de autenticar el contenido de tu zona. En Cloud DNS, esto se administra automáticamente si habilitas DNSSEC para una zona.

  2. El registro de dominio de nivel superior (para example.com, debe ser .COM) debe tener un registro DS con el que se autentique un registro DNSKEY en tu zona. Para hacerlo, activa DNSSEC en tu registrador de dominios.

  3. Para obtener la protección total de DNSSEC, los clientes deben usar un agente de resolución de DNS que valide las firmas para los dominios con firma de DNSSEC. Puedes habilitar la validación para sistemas individuales o los agentes de resolución del DNS locales (consulta los apéndices en esta guía en formato PDF). También puedes configurar los sistemas para que usen agentes de resolución públicos que validen DNSSEC, especialmente DNS público de Google y DNS público de Verisign.

El segundo punto limita los nombres de dominio en los que DNSSEC puede trabajar. Tanto el registrador como el registro deben admitir DNSSEC para el dominio de nivel superior que estás usando. Si no puedes agregar un registro DS a través de tu registrador de dominios para habilitar DNSSEC, la habilitación de DNSSEC en Cloud DNS no tiene efecto.

Antes de habilitar DNSSEC, comprueba la documentación de DNSSEC para tu registrador de dominios y tu registro de nivel superior, las instrucciones específicas del registrador de dominios del instructivo de la comunidad de Google Cloud y la compatibilidad de DNSSEC con la lista de ICANN del registrador de dominios para confirmar la compatibilidad de DNSSEC con tu dominio. Si el registro de dominios de nivel superior admite DNSSEC, pero tu registrador no lo hace (o no la admite para ese dominio de nivel superior), es posible que puedas transferir tus dominios a un registrador diferente que la admita. Una vez que hayas completado ese proceso, puedes activar DNSSEC para el dominio.

Operaciones de administración

Ve a Administra DNSSEC (en "También consulta lo siguiente") para obtener instrucciones sobre cada una de estas tareas, o haz clic en los siguientes vínculos:

DNSSEC, transferencias de dominios y migración de zonas

Migra zonas con firma de DNSSEC a Google Cloud DNS

Abandona el estado de transferencia de DNSSEC

Migra zonas con firma de DNSSEC desde Google Cloud DNS

Delega subdominios con firma de DNSSEC

Tipos de conjuntos de registros mejorados con DNSSEC

Consulta DNSSEC avanzada para obtener instrucciones sobre estos tipos de registros y otros, o haz clic en los siguientes vínculos:

Registros CAA

Registros IPSECKEY

Usa los nuevos tipos de registro DNS con las zonas protegidas con DNSSEC

Ve a DNSSEC avanzada para obtener instrucciones sobre esto tipos de registros y otros, o haz clic en los siguientes vínculos:

Registros SSHFP

Próximos pasos