Le estensioni DNSSEC (Domain Name System Security Extensions) sono una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche dei nomi di dominio. Non offre protezioni della privacy per tali ricerche, ma impedisce agli utenti malintenzionati di manipolare o avvelenare le risposte alle richieste DNS.
È necessario abilitare e configurare le DNSSEC in tre aree in modo da proteggere i domini da attacchi di spoofing e avvelenamento:
La zona DNS del tuo dominio deve utilizzare record DNSSEC speciali per chiavi pubbliche (DNSKEY), firme (RRSIG) e inesistente (NSEC o NSEC3 e NSEC3PARAM) per autenticare i contenuti della tua zona. Cloud DNS lo gestisce automaticamente se abiliti DNSSEC per una zona.
Il registry di dominio di primo livello (TLD) (per
example.com, sarà.com) deve avere un record DS che autentica un record DNSKEY nella tua zona. Per farlo, attiva DNSSEC nel registrar di domini.Per la protezione completa di DNSSEC, devi utilizzare un resolver DNS che convalida le firme per i domini con firma DNSSEC. Puoi attivare la convalida per singoli sistemi o per i resolver di memorizzazione nella cache locale se amministri i servizi DNS della rete.
Per ulteriori informazioni sulla convalida DNSSEC, consulta le seguenti risorse:
- Hai attivato la convalida DNSSEC?
- Deployment di DNSSEC con BIND e server Ubuntu (parte 1)
- Guida DNSSEC: capitolo 3. Convalida
- DNSSEC
Puoi anche configurare i sistemi in modo che utilizzino resolver pubblici che convalidano DNSSEC, in particolare Google Public DNS e Verisign Public DNS.
Il secondo punto limita i nomi di dominio in cui può funzionare le DNSSEC. Sia il registrar che il registry devono supportare le DNSSEC per il TLD che stai utilizzando. Se non riesci ad aggiungere un record DS tramite il tuo registrar di dominio per attivare DNSSEC, abilitare DNSSEC in Cloud DNS non ha effetto.
Prima di attivare DNSSEC, controlla le seguenti risorse:
- Documentazione DNSSEC sia per il registrar di domini sia per il registro TLD
- Le istruzioni specifiche del registrar di domini Google Cloud Community's
- Elenco DNSSEC del supporto DNSSEC del registrar di domini per confermare il supporto DNSSEC per il tuo dominio.
Se il registry dei domini di primo livello supporta DNSSEC, ma il tuo registrar non lo supporta (o non li supporta), potresti essere in grado di trasferire i tuoi domini a un registrar diverso. Dopo aver completato tale processo, puoi attivare DNSSEC per il dominio.
Operazioni di gestione
Per istruzioni dettagliate sulla gestione delle DNSSEC, consulta le seguenti risorse:
Per garantire il corretto funzionamento di un dominio, consulta la pagina relativa a DNSSEC, trasferimenti di dominio e migrazione delle zone.
Per eseguire la migrazione di una zona con firma DNSSEC su Cloud DNS, consulta Migrazione di zone con firma DNSSEC su Cloud DNS.
Per modificare lo stato DNSSEC della zona da
TransferaOn, consulta la pagina relativa alla disattivazione dello stato di trasferimento DNSSEC.Per eseguire la migrazione di una zona con firma DNSSEC su un altro operatore DNS, consulta la sezione Migrazione di zone con firma DNSSEC da Cloud DNS.
Per attivare DNSSEC per i sottodomini delegati, consulta l'articolo sulla delega dei sottodomini con firma DNSSEC.
Tipi di set di record ottimizzati da DNSSEC
Per ulteriori informazioni sui tipi di set di record e altri tipi di record, consulta le seguenti risorse:
Per specificare quali autorità di certificazione pubbliche (CA) possono generare TLS o altri certificati per il tuo dominio, consulta i record CAA.
Per abilitare la crittografia opportunistica tramite tunnel IPsec, vedi record IPSECKEY.
Utilizzare nuovi tipi di record DNS con zone protette da DNSSEC
Per ulteriori informazioni sui tipi di record DNS e altri tipi di record, consulta la seguente risorsa:
- Per abilitare le applicazioni client SSH per convalidare i server SSH, consulta la pagina relativa ai record SSH.
Passaggi successivi
- Per visualizzare i record di chiavi DNSSEC, vedi Visualizzare le chiavi DNSSEC.
- Per creare, aggiornare, elencare ed eliminare zone gestite, consulta Gestione zone.
- Per trovare soluzioni ai problemi comuni che potresti riscontrare quando utilizzi Cloud DNS, consulta Risoluzione dei problemi.
- Per una panoramica su Cloud DNS, consulta la panoramica di Cloud DNS.