Visão geral das extensões de segurança de DNS (DNSSEC)

As extensões de segurança do Sistema de Nomes de Domínio (DNSSEC, na sigla em inglês) são um recurso do Sistema de Nome de Domínio (DNS, na sigla em inglês) que autentica respostas a pesquisas de nome de domínio. Isso não fornece proteções de privacidade para as pesquisas, mas impede que invasores manipulem ou envenenem as respostas a solicitações de DNS.

Para proteger os domínios contra spoofing e ataques de envenenamento, ative e configure a DNSSEC nos seguintes locais:

  1. A zona de DNS. Se você ativar a DNSSEC em uma zona, o Cloud DNS gerenciará automaticamente a criação e a rotação de chaves de DNSSEC (registros DNSKEY) e a assinatura dos dados da zona com registros de assinatura digital de registro de recurso (RRSIG, na sigla em inglês).

  2. O registro de domínio de nível superior (TLD, na sigla em inglês) (para example.com, isso corresponde a .com). No registro TLD, você precisa ter um registro DS que autentique um registro DNSKEY na sua zona. Para isso, ative a DNSSEC no seu registrador de domínio.

  3. O resolvedor de DNS. Para uma proteção DNSSEC completa, é necessário usar um resolvedor de DNS que valide assinaturas de domínios assinados por DNSSEC. Se você administra os serviços DNS da sua rede, ative a validação em sistemas individuais ou nos seus resolvedores locais de armazenamento em cache.

    Para mais informações sobre a validação do DNSSEC, consulte os recursos a seguir:

    Também é possível configurar sistemas para usar resolvedores públicos que validem o DNSSEC, especialmente o DNS público do Google e do Verisign (em inglês).

O segundo ponto limita os nomes de domínio em que o DNSSEC pode funcionar. O registrador e o registro precisam aceitar o DNSSEC para o TLD que você está usando. Se não for possível adicionar um registro DS por meio do registrador de domínio para ativar o DNSSEC, ativá-lo no Cloud DNS não surtirá efeito.

Antes de ativar o DNSSEC, verifique os recursos a seguir:

  • A documentação do DNSSEC para seu registrador de domínio e registro TLD
  • As instruções específicas do registrador de domínio do tutorial da comunidade do Google Cloud
  • A lista ICANN de compatibilidade do DNSSEC do registrador de domínio para confirmar se o DNSSEC é compatível com o domínio.

Se o registro TLD for compatível com o DNSSEC, mas seu registrador não for (ou não for compatível com esse TLD), transfira seus domínios para um registrador diferente que seja compatível. Depois de concluir esse processo, ative o DNSSEC para o domínio.

Operações de gerenciamento

Para instruções passo a passo sobre o gerenciamento do DNSSEC, consulte os recursos a seguir:

Tipos de conjuntos de registros aprimorados por DNSSEC

Para mais informações sobre tipos de conjunto de registros e outros tipos de registro, consulte os recursos a seguir:

  • Para controlar quais autoridades de certificação (CAs) públicas podem gerar TLS ou outros certificados para seu domínio, consulte Registros CAA.

  • Para ativar a criptografia oportunista via túneis de IPsec, consulte Registros IPSECKEY.

Tipos de registro DNS com zonas protegidas por DNSSEC

Para mais informações sobre tipos de registro DNS e outros tipos de registro, consulte o recurso a seguir:

  • Para permitir que os aplicativos clientes SSH validem os servidores SSH, consulte Registros SSHFP.

Migração ou transferência de zonas com DNSSEC ativadas

O Cloud DNS permite a migração de zonas habilitadas para DNSSEC em que elas foram ativadas no registro do domínio sem comprometer a cadeia de confiança. É possível migrar zonas de ou para outros operadores DNS que também são compatíveis com a migração.

Se seu domínio atual for hospedado pelo registrador, recomendamos migrar os servidores de nomes para o Cloud DNS antes de transferi-los para outro registrador.

A seguir