Le DNSSEC (Domain Name System Security Extensions) sono una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche dei nomi di dominio. Non fornisce protezione della privacy per queste ricerche, ma impedisce agli utenti malintenzionati di manipolare o avvelenare le risposte alle richieste DNS.
Per proteggere i domini da attacchi di spoofing e poisoning, attiva e configura DNSSEC nelle seguenti posizioni:
La zona DNS. Se attivi DNSSEC per una zona, Cloud DNS gestisce automaticamente la creazione e la rotazione delle chiavi DNSSEC (record DNSKEY) e la firma dei dati di zona con i record di firma digitale (RRSIG) dei record di risorse.
Il registro di dominio di primo livello (TLD) (per
example.com
, sarebbe.com
). Nel registro di dominio di primo livello, devi avere un record DS che autentica un record DNSKEY nella tua zona. Per farlo, attiva le DNSSEC nel registrar di dominio.Il resolver DNS. Per una protezione DNSSEC completa, devi utilizzare un resolver DNS che convalidi le firme per i domini firmati con DNSSEC. Puoi attivare la convalida per singoli sistemi o per i resolver di memorizzazione nella cache locale se amministri i servizi DNS della rete.
Per ulteriori informazioni sulla convalida DNSSEC, consulta le seguenti risorse:
- Hai attivato la convalida DNSSEC?
- Deployment di DNSSEC con BIND e Ubuntu Server (Parte 1)
- Guida DNSSEC: capitolo 3. Convalida
- DNSSEC
Puoi anche configurare sistemi per l'utilizzo di resolver pubblici che convalidano DNSSEC, in particolare Google Public DNS e Verisign Public DNS.
Il secondo punto limita i nomi di dominio in cui possono funzionare le DNSSEC. Sia il registrar e il registry devono supportare DNSSEC per il dominio di primo livello utilizzato. Se non riesci ad aggiungere un record DS tramite il tuo registrar di dominio per attivare DNSSEC, l'attivazione di DNSSEC in Cloud DNS non ha alcun effetto.
Prima di abilitare le DNSSEC, controlla le risorse seguenti:
- La documentazione relativa alle DNSSEC per il registrar di domini e il registro dei domini di primo livello
- Le istruzioni specifiche per il registrar di domini del tutorial della community di Google Cloud
- L'elenco ICANN del supporto per DNSSEC del dominio per confermare il supporto DNSSEC per il tuo dominio.
Se il registry dei domini di primo livello supporta DNSSEC, ma non è supportato dal registrar (o non lo supporta per quel dominio di primo livello), potresti essere in grado di trasferire i tuoi domini a un registrar diverso che lo abbia. Una volta completato il processo, puoi attivare DNSSEC per il dominio.
Operazioni di gestione
Per istruzioni dettagliate per la gestione delle DNSSEC, consulta le risorse seguenti:
Per modificare lo stato DNSSEC della zona da
Transfer
aOn
, consulta Uscire dallo stato di trasferimento DNSSEC.Per abilitare DNSSEC per sottodomini delegati, consulta Delega dei sottodomini sottoscritti da DNSSEC.
Tipi di set di record migliorati da DNSSEC
Per ulteriori informazioni sui tipi di set di record e altri tipi di record, consulta le seguenti risorse:
Per controllare quali autorità di certificazione (CA) pubbliche possono generare TLS o altri certificati per il tuo dominio, consulta i record CAA.
Per abilitare la crittografia opportunistica attraverso i tunnel IPsec, consulta Record IPSECKEY.
Tipi di record DNS con zone protette da DNSSEC
Per ulteriori informazioni sui tipi di record DNS e altri tipi di record, consulta la risorsa seguente:
- Per abilitare le applicazioni client SSH per la convalida dei server SSH, consulta Record SSH.
Migrazione o trasferimento di zone abilitate per DNSSEC
Cloud DNS supporta la migrazione delle zone abilitate per DNSSEC in cui le DNSSEC sono state attivate nel registro di dominio senza danneggiare la catena di trust. Puoi eseguire la migrazione delle zone da o verso altri operatori DNS che supportano anche la migrazione.
Per eseguire la migrazione di una zona con firma DNSSEC in Cloud DNS, consulta la pagina Eseguire la migrazione delle zone con firma DNSSEC in Cloud DNS.
Per eseguire la migrazione di una zona con firma DNSSEC a un altro operatore DNS, consulta Eseguire la migrazione delle zone con firma DNSSEC da Cloud DNS.
Se il tuo dominio esistente è ospitato dal tuo registrar, ti consigliamo di eseguire la migrazione dei server dei nomi a Cloud DNS prima di effettuare il trasferimento a un altro registrar.
Passaggi successivi
- Per visualizzare i record delle chiavi DNSSEC, vedi Visualizzare le chiavi DNSSEC.
- Per lavorare con le zone gestite, consulta Creare, modificare ed eliminare le zone.
- Per trovare soluzioni per i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la sezione Risoluzione dei problemi.
- Per una panoramica di Cloud DNS, consulta Panoramica di Cloud DNS.