Le estensioni DNSSEC (Domain Name System Security Extensions) sono una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche di nomi di dominio. Non offre protezioni della privacy per queste ricerche, ma impedisce a utenti malintenzionati di manipolare o avvelenare le risposte alle richieste DNS.
Per proteggere i domini da attacchi di spoofing e avvelenamento, abilita e configura DNSSEC nelle seguenti posizioni:
La zona DNS. Se abiliti DNSSEC per una zona, Cloud DNS gestisce automaticamente la creazione e la rotazione delle chiavi DNSSEC (record DNSKEY) e la firma dei dati della zona con record di firma digitale dei record di risorse (RRSIG).
Il registro dei domini di primo livello (TLD) (per
example.com
, corrisponde a.com
). Nel registro dei domini di primo livello, devi avere un record DS che autentichi un record DNSKEY nella tua zona. Per farlo, attiva le DNSSEC presso il tuo registrar di domini.Il resolver DNS. Per una protezione DNSSEC completa, devi utilizzare un resolver DNS che convalida le firme per i domini firmati DNSSEC. Puoi abilitare la convalida per singoli sistemi o per i resolver di memorizzazione nella cache locali se amministri i servizi DNS della tua rete.
Per saperne di più sulla convalida delle DNSSEC, consulta le seguenti risorse:
- La convalida DNSSEC è abilitata?
- Deployment di DNSSEC con BIND e Ubuntu Server (Parte 1)
- Guida DNSSEC: capitolo 3. Convalida
- DNSSEC
Puoi anche configurare i sistemi per utilizzare resolver pubblici che convalidano le DNSSEC, in particolare Google Public DNS e Verisign Public DNS.
Il secondo punto limita i nomi di dominio in cui possono funzionare le DNSSEC. Sia il registrar che il registry devono supportare le DNSSEC per il dominio di primo livello che stai utilizzando. Se non riesci ad aggiungere un record DS tramite il registrar di domini per attivare DNSSEC, l'abilitazione di DNSSEC in Cloud DNS non ha alcun effetto.
Prima di abilitare le DNSSEC, controlla le seguenti risorse:
- La documentazione relativa alle DNSSEC sia per il registrar di domini che per il registro dei domini di primo livello
- Istruzioni specifiche per il registrar di domini del tutorial della community Google Cloud
- Consulta l'elenco ICANN per verificare il supporto delle DNSSEC per il tuo dominio.
Se il registry dei domini di primo livello supporta le DNSSEC, ma il tuo registrar non lo supporta (o non lo supporta per quel dominio di primo livello), potresti riuscire a trasferire i tuoi domini a un registrar diverso. Dopo aver completato il processo, puoi attivare DNSSEC per il dominio.
Operazioni di gestione
Per istruzioni dettagliate sulla gestione delle DNSSEC, consulta le seguenti risorse:
Per modificare lo stato DNSSEC della zona da
Transfer
aOn
, consulta Disattivazione dello stato di trasferimento di DNSSEC.Per abilitare le DNSSEC per i sottodomini delegati, consulta Delegare i sottodomini con firma DNSSEC.
Tipi di set di record migliorati da DNSSEC
Per saperne di più sui tipi di set di record e altri tipi di record, consulta le risorse seguenti:
Per controllare quali autorità di certificazione pubbliche (CA) possono generare TLS o altri certificati per il tuo dominio, vedi Record CAA.
Per abilitare la crittografia opportunistica attraverso i tunnel IPsec, consulta i record IPSECKEY.
Tipi di record DNS con zone protette da DNSSEC
Per ulteriori informazioni sui tipi di record DNS e altri tipi di record, consulta la seguente risorsa:
- Per consentire alle applicazioni client SSH di convalidare i server SSH, consulta Record SSH.
Migrazione o trasferimento di zone abilitate per DNSSEC
Cloud DNS supporta la migrazione di zone abilitate per DNSSEC in cui le DNSSEC sono state attivate nel registro di domini senza infrangere la catena di attendibilità. Puoi eseguire la migrazione delle zone da o verso altri operatori DNS che supportano la migrazione.
Per eseguire la migrazione di una zona con firma DNSSEC in Cloud DNS, consulta Eseguire la migrazione di zone con firma DNSSEC in Cloud DNS.
Per eseguire la migrazione di una zona con firma DNSSEC a un altro operatore DNS, consulta Eseguire la migrazione di zone con firma DNSSEC da Cloud DNS.
Se il dominio esistente è ospitato dal tuo registrar, ti consigliamo di eseguire la migrazione dei server dei nomi a Cloud DNS prima di trasferirlo a un altro registrar.
Passaggi successivi
- Per visualizzare i record delle chiavi DNSSEC, consulta Visualizzare le chiavi DNSSEC.
- Per lavorare con le zone gestite, vedi Creare, modificare ed eliminare le zone.
- Per trovare soluzioni ai problemi comuni che potresti riscontrare quando utilizzi Cloud DNS, consulta Risoluzione dei problemi.
- Per una panoramica di Cloud DNS, consulta la panoramica di Cloud DNS.