Panoramica di DNS Security Extensions (DNSSEC)

Le DNSSEC (Domain Name System Security Extensions) sono una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche dei nomi di dominio. Non fornisce protezione della privacy per queste ricerche, ma impedisce agli utenti malintenzionati di manipolare o avvelenare le risposte alle richieste DNS.

Per proteggere i domini da attacchi di spoofing e poisoning, attiva e configura DNSSEC nelle seguenti posizioni:

  1. La zona DNS. Se attivi DNSSEC per una zona, Cloud DNS gestisce automaticamente la creazione e la rotazione delle chiavi DNSSEC (record DNSKEY) e la firma dei dati di zona con i record di firma digitale (RRSIG) dei record di risorse.

  2. Il registro di dominio di primo livello (TLD) (per example.com, sarebbe .com). Nel registro di dominio di primo livello, devi avere un record DS che autentica un record DNSKEY nella tua zona. Per farlo, attiva le DNSSEC nel registrar di dominio.

  3. Il resolver DNS. Per una protezione DNSSEC completa, devi utilizzare un resolver DNS che convalidi le firme per i domini firmati con DNSSEC. Puoi attivare la convalida per singoli sistemi o per i resolver di memorizzazione nella cache locale se amministri i servizi DNS della rete.

    Per ulteriori informazioni sulla convalida DNSSEC, consulta le seguenti risorse:

    Puoi anche configurare sistemi per l'utilizzo di resolver pubblici che convalidano DNSSEC, in particolare Google Public DNS e Verisign Public DNS.

Il secondo punto limita i nomi di dominio in cui possono funzionare le DNSSEC. Sia il registrar e il registry devono supportare DNSSEC per il dominio di primo livello utilizzato. Se non riesci ad aggiungere un record DS tramite il tuo registrar di dominio per attivare DNSSEC, l'attivazione di DNSSEC in Cloud DNS non ha alcun effetto.

Prima di abilitare le DNSSEC, controlla le risorse seguenti:

  • La documentazione relativa alle DNSSEC per il registrar di domini e il registro dei domini di primo livello
  • Le istruzioni specifiche per il registrar di domini del tutorial della community di Google Cloud
  • L'elenco ICANN del supporto per DNSSEC del dominio per confermare il supporto DNSSEC per il tuo dominio.

Se il registry dei domini di primo livello supporta DNSSEC, ma non è supportato dal registrar (o non lo supporta per quel dominio di primo livello), potresti essere in grado di trasferire i tuoi domini a un registrar diverso che lo abbia. Una volta completato il processo, puoi attivare DNSSEC per il dominio.

Operazioni di gestione

Per istruzioni dettagliate per la gestione delle DNSSEC, consulta le risorse seguenti:

Tipi di set di record migliorati da DNSSEC

Per ulteriori informazioni sui tipi di set di record e altri tipi di record, consulta le seguenti risorse:

  • Per controllare quali autorità di certificazione (CA) pubbliche possono generare TLS o altri certificati per il tuo dominio, consulta i record CAA.

  • Per abilitare la crittografia opportunistica attraverso i tunnel IPsec, consulta Record IPSECKEY.

Tipi di record DNS con zone protette da DNSSEC

Per ulteriori informazioni sui tipi di record DNS e altri tipi di record, consulta la risorsa seguente:

  • Per abilitare le applicazioni client SSH per la convalida dei server SSH, consulta Record SSH.

Migrazione o trasferimento di zone abilitate per DNSSEC

Cloud DNS supporta la migrazione delle zone abilitate per DNSSEC in cui le DNSSEC sono state attivate nel registro di dominio senza danneggiare la catena di trust. Puoi eseguire la migrazione delle zone da o verso altri operatori DNS che supportano anche la migrazione.

Se il tuo dominio esistente è ospitato dal tuo registrar, ti consigliamo di eseguire la migrazione dei server dei nomi a Cloud DNS prima di effettuare il trasferimento a un altro registrar.

Passaggi successivi