Panoramica delle estensioni di sicurezza DNS (DNSSEC)

Le estensioni DNSSEC (Domain Name System Security Extensions) sono una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche di nomi di dominio. Non offre protezioni della privacy per queste ricerche, ma impedisce a utenti malintenzionati di manipolare o avvelenare le risposte alle richieste DNS.

Per proteggere i domini da attacchi di spoofing e avvelenamento, abilita e configura DNSSEC nelle seguenti posizioni:

  1. La zona DNS. Se abiliti DNSSEC per una zona, Cloud DNS gestisce automaticamente la creazione e la rotazione delle chiavi DNSSEC (record DNSKEY) e la firma dei dati della zona con record di firma digitale dei record di risorse (RRSIG).

  2. Il registro dei domini di primo livello (TLD) (per example.com, corrisponde a .com). Nel registro dei domini di primo livello, devi avere un record DS che autentichi un record DNSKEY nella tua zona. Per farlo, attiva le DNSSEC presso il tuo registrar di domini.

  3. Il resolver DNS. Per una protezione DNSSEC completa, devi utilizzare un resolver DNS che convalida le firme per i domini firmati DNSSEC. Puoi abilitare la convalida per singoli sistemi o per i resolver di memorizzazione nella cache locali se amministri i servizi DNS della tua rete.

    Per saperne di più sulla convalida delle DNSSEC, consulta le seguenti risorse:

    Puoi anche configurare i sistemi per utilizzare resolver pubblici che convalidano le DNSSEC, in particolare Google Public DNS e Verisign Public DNS.

Il secondo punto limita i nomi di dominio in cui possono funzionare le DNSSEC. Sia il registrar che il registry devono supportare le DNSSEC per il dominio di primo livello che stai utilizzando. Se non riesci ad aggiungere un record DS tramite il registrar di domini per attivare DNSSEC, l'abilitazione di DNSSEC in Cloud DNS non ha alcun effetto.

Prima di abilitare le DNSSEC, controlla le seguenti risorse:

  • La documentazione relativa alle DNSSEC sia per il registrar di domini che per il registro dei domini di primo livello
  • Istruzioni specifiche per il registrar di domini del tutorial della community Google Cloud
  • Consulta l'elenco ICANN per verificare il supporto delle DNSSEC per il tuo dominio.

Se il registry dei domini di primo livello supporta le DNSSEC, ma il tuo registrar non lo supporta (o non lo supporta per quel dominio di primo livello), potresti riuscire a trasferire i tuoi domini a un registrar diverso. Dopo aver completato il processo, puoi attivare DNSSEC per il dominio.

Operazioni di gestione

Per istruzioni dettagliate sulla gestione delle DNSSEC, consulta le seguenti risorse:

Tipi di set di record migliorati da DNSSEC

Per saperne di più sui tipi di set di record e altri tipi di record, consulta le risorse seguenti:

  • Per controllare quali autorità di certificazione pubbliche (CA) possono generare TLS o altri certificati per il tuo dominio, vedi Record CAA.

  • Per abilitare la crittografia opportunistica attraverso i tunnel IPsec, consulta i record IPSECKEY.

Tipi di record DNS con zone protette da DNSSEC

Per ulteriori informazioni sui tipi di record DNS e altri tipi di record, consulta la seguente risorsa:

  • Per consentire alle applicazioni client SSH di convalidare i server SSH, consulta Record SSH.

Migrazione o trasferimento di zone abilitate per DNSSEC

Cloud DNS supporta la migrazione di zone abilitate per DNSSEC in cui le DNSSEC sono state attivate nel registro di domini senza infrangere la catena di attendibilità. Puoi eseguire la migrazione delle zone da o verso altri operatori DNS che supportano la migrazione.

Se il dominio esistente è ospitato dal tuo registrar, ti consigliamo di eseguire la migrazione dei server dei nomi a Cloud DNS prima di trasferirlo a un altro registrar.

Passaggi successivi