Panoramica di DNS Security Extensions (DNSSEC)

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Le estensioni DNSSEC (Domain Name System Security Extensions) sono una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche dei nomi di dominio. Non fornisce protezioni della privacy per queste ricerche, ma impedisce agli utenti malintenzionati di manipolare o avvelenare le risposte alle richieste DNS.

Devi attivare e configurare DNSSEC in tre punti per proteggere i domini da attacchi di spoofing e poisoning:

  1. La zona DNS per il tuo dominio deve gestire record DNSSEC speciali per chiavi pubbliche (DNSKEY), firme (RRSIG) e non esistenti (NSEC o NSEC3 e NSEC3PARAM) per autenticare i contenuti della zona. Cloud DNS gestisce questa gestione automaticamente se attivi DNSSEC per una zona.

  2. Il registro di dominio di primo livello (TLD) (per example.com, sarebbe .com) deve avere un record DS che autentica un record DNSKEY nella tua zona. Per farlo, attiva DNSSEC nel registrar di dominio.

  3. Per una protezione DNSSEC completa, devi utilizzare un resolver DNS che convalida le firme per i domini firmati con DNSSEC. Puoi abilitare la convalida per singoli sistemi o per i resolver di memorizzazione nella cache locale se amministri i servizi DNS della rete.

    Per ulteriori informazioni sulla convalida DNSSEC, consulta le seguenti risorse:

    Puoi anche configurare i sistemi per l'uso di resolver pubblici che convalidano DNSSEC, in particolare Google Public DNS e Verisign Public DNS.

Il secondo punto limita i nomi di dominio in cui possono funzionare le DNSSEC. Sia il registrar che il registry devono supportare DNSSEC per il dominio di primo livello che stai utilizzando. Se non puoi aggiungere un record DS tramite il tuo registrar di domini per attivare DNSSEC, l'attivazione di DNSSEC in Cloud DNS non ha alcun effetto.

Prima di abilitare DNSSEC, verifica le seguenti risorse:

  • La documentazione DNSSEC per il registrar di domini e il registro di dominio di primo livello
  • Le istruzioni specifiche del registrar di domini del tutorial della community Google Cloud
  • Nell'elenco ICANN del supporto per DNSSEC del registrar di domini è necessario confermare il supporto DNSSEC per il tuo dominio.

Se il registry dei domini di primo livello supporta DNSSEC, ma il registrar non lo supporta (o non lo supporta per quel dominio di primo livello), potresti essere in grado di trasferire i tuoi domini a un registrar diverso che lo supporta. Dopo aver completato la procedura, puoi attivare DNSSEC per il dominio.

Operazioni di gestione

Per istruzioni dettagliate sulla gestione di DNSSEC, consulta le seguenti risorse:

Tipi di set di record migliorati da DNSSEC

Per ulteriori informazioni sui tipi di set di record e altri tipi di record, consulta le seguenti risorse:

  • Per controllare quali autorità di certificazione pubbliche (CA) possono generare TLS o altri certificati per il tuo dominio, consulta i record CAA.

  • Per abilitare la crittografia opportunistica tramite tunnel IPsec, consulta i record IPSECKEY.

Tipi di record DNS con zone con protezione DNSSEC

Per ulteriori informazioni sui tipi di record DNS e altri tipi di record, consulta la risorsa seguente:

  • Per attivare le applicazioni client SSH per la convalida dei server SSH, consulta i record SSH.

Migrazione o trasferimento di zone abilitate per DNSSEC

Cloud DNS supporta la migrazione delle zone abilitate per DNSSEC in cui le DNSSEC sono state attivate nel registro di dominio senza danneggiare la catena di attendibilità. Puoi eseguire la migrazione delle zone da o verso altri operatori DNS che supportano anche la migrazione.

Se il tuo dominio esistente è ospitato dal registrar, ti consigliamo di eseguire la migrazione dei server dei nomi in Cloud DNS prima di eseguire il trasferimento a un altro registrar.

Passaggi successivi