Panoramica delle estensioni di sicurezza DNS (DNSSEC)

Le estensioni DNSSEC (Domain Name System Security Extensions) sono una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche dei nomi di dominio. Non offre protezioni della privacy per tali ricerche, ma impedisce agli utenti malintenzionati di manipolare o avvelenare le risposte alle richieste DNS.

È necessario abilitare e configurare le DNSSEC in tre aree in modo da proteggere i domini da attacchi di spoofing e avvelenamento:

  1. La zona DNS del tuo dominio deve utilizzare record DNSSEC speciali per chiavi pubbliche (DNSKEY), firme (RRSIG) e inesistente (NSEC o NSEC3 e NSEC3PARAM) per autenticare i contenuti della tua zona. Cloud DNS lo gestisce automaticamente se abiliti DNSSEC per una zona.

  2. Il registry di dominio di primo livello (TLD) (per example.com, sarà .com) deve avere un record DS che autentica un record DNSKEY nella tua zona. Per farlo, attiva DNSSEC nel registrar di domini.

  3. Per la protezione completa di DNSSEC, devi utilizzare un resolver DNS che convalida le firme per i domini con firma DNSSEC. Puoi attivare la convalida per singoli sistemi o per i resolver di memorizzazione nella cache locale se amministri i servizi DNS della rete.

    Per ulteriori informazioni sulla convalida DNSSEC, consulta le seguenti risorse:

    Puoi anche configurare i sistemi in modo che utilizzino resolver pubblici che convalidano DNSSEC, in particolare Google Public DNS e Verisign Public DNS.

Il secondo punto limita i nomi di dominio in cui può funzionare le DNSSEC. Sia il registrar che il registry devono supportare le DNSSEC per il TLD che stai utilizzando. Se non riesci ad aggiungere un record DS tramite il tuo registrar di dominio per attivare DNSSEC, abilitare DNSSEC in Cloud DNS non ha effetto.

Prima di attivare DNSSEC, controlla le seguenti risorse:

  • Documentazione DNSSEC sia per il registrar di domini sia per il registro TLD
  • Le istruzioni specifiche del registrar di domini Google Cloud Community's
  • Elenco DNSSEC del supporto DNSSEC del registrar di domini per confermare il supporto DNSSEC per il tuo dominio.

Se il registry dei domini di primo livello supporta DNSSEC, ma il tuo registrar non lo supporta (o non li supporta), potresti essere in grado di trasferire i tuoi domini a un registrar diverso. Dopo aver completato tale processo, puoi attivare DNSSEC per il dominio.

Operazioni di gestione

Per istruzioni dettagliate sulla gestione delle DNSSEC, consulta le seguenti risorse:

Tipi di set di record ottimizzati da DNSSEC

Per ulteriori informazioni sui tipi di set di record e altri tipi di record, consulta le seguenti risorse:

  • Per specificare quali autorità di certificazione pubbliche (CA) possono generare TLS o altri certificati per il tuo dominio, consulta i record CAA.

  • Per abilitare la crittografia opportunistica tramite tunnel IPsec, vedi record IPSECKEY.

Utilizzare nuovi tipi di record DNS con zone protette da DNSSEC

Per ulteriori informazioni sui tipi di record DNS e altri tipi di record, consulta la seguente risorsa:

  • Per abilitare le applicazioni client SSH per convalidare i server SSH, consulta la pagina relativa ai record SSH.

Passaggi successivi