As extensões de segurança do Sistema de Nomes de Domínio (DNSSEC, na sigla em inglês) são um recurso do Sistema de Nome de Domínio (DNS, na sigla em inglês) que autentica respostas a pesquisas de nome de domínio. Isso não fornece proteções de privacidade para as pesquisas, mas impede que invasores manipulem ou envenenem as respostas a solicitações de DNS.
Para proteger os domínios contra spoofing e ataques de envenenamento, ative e configure a DNSSEC nos seguintes locais:
A zona de DNS. Se você ativar a DNSSEC em uma zona, o Cloud DNS gerenciará automaticamente a criação e a rotação de chaves de DNSSEC (registros DNSKEY) e a assinatura dos dados da zona com registros de assinatura digital de registro de recurso (RRSIG, na sigla em inglês).
O registro de domínio de nível superior (TLD, na sigla em inglês) (para
example.com
, isso corresponde a.com
). No registro TLD, você precisa ter um registro DS que autentique um registro DNSKEY na sua zona. Para isso, ative a DNSSEC no seu registrador de domínio.O resolvedor de DNS. Para uma proteção DNSSEC completa, é necessário usar um resolvedor de DNS que valide assinaturas de domínios assinados por DNSSEC. Se você administra os serviços DNS da sua rede, ative a validação em sistemas individuais ou nos seus resolvedores locais de armazenamento em cache.
Para mais informações sobre a validação do DNSSEC, consulte os recursos a seguir:
- Você tem a validação DNSSEC ativada?
- Como implantar o DNSSEC com o BIND e o Ubuntu Server (parte 1)
- Guia do DNSSEC: capítulo 3. Validação
- DNSSEC
Também é possível configurar sistemas para usar resolvedores públicos que validem o DNSSEC, especialmente o DNS público do Google e do Verisign (em inglês).
O segundo ponto limita os nomes de domínio em que o DNSSEC pode funcionar. O registrador e o registro precisam aceitar o DNSSEC para o TLD que você está usando. Se não for possível adicionar um registro DS por meio do registrador de domínio para ativar o DNSSEC, ativá-lo no Cloud DNS não surtirá efeito.
Antes de ativar o DNSSEC, verifique os recursos a seguir:
- A documentação do DNSSEC para seu registrador de domínio e registro TLD
- As instruções específicas do registrador de domínio do tutorial da comunidade do Google Cloud
- A lista ICANN de compatibilidade do DNSSEC do registrador de domínio para confirmar se o DNSSEC é compatível com o domínio.
Se o registro TLD for compatível com o DNSSEC, mas seu registrador não for (ou não for compatível com esse TLD), transfira seus domínios para um registrador diferente que seja compatível. Depois de concluir esse processo, ative o DNSSEC para o domínio.
Operações de gerenciamento
Para instruções passo a passo sobre o gerenciamento do DNSSEC, consulte os recursos a seguir:
Para alterar o estado do DNSSEC da zona de
Transfer
paraOn
, consulte Como sair do estado de transferência do DNSSEC.Para ativar o DNSSEC para subdomínios delegados, consulte Como delegar subdomínios assinados pelo DNSSEC.
Tipos de conjuntos de registros aprimorados por DNSSEC
Para mais informações sobre tipos de conjunto de registros e outros tipos de registro, consulte os recursos a seguir:
Para controlar quais autoridades de certificação (CAs) públicas podem gerar TLS ou outros certificados para seu domínio, consulte Registros CAA.
Para ativar a criptografia oportunista via túneis de IPsec, consulte Registros IPSECKEY.
Tipos de registro DNS com zonas protegidas por DNSSEC
Para mais informações sobre tipos de registro DNS e outros tipos de registro, consulte o recurso a seguir:
- Para permitir que os aplicativos clientes SSH validem os servidores SSH, consulte Registros SSHFP.
Migração ou transferência de zonas com DNSSEC ativadas
O Cloud DNS permite a migração de zonas habilitadas para DNSSEC em que elas foram ativadas no registro do domínio sem comprometer a cadeia de confiança. É possível migrar zonas de ou para outros operadores DNS que também são compatíveis com a migração.
Para migrar uma zona assinada pela DNSSEC para o Cloud DNS, consulte Como migrar zonas assinadas pela DNSSEC para o Cloud DNS.
Para migrar uma zona assinada pela DNSSEC para outro operador de DNS, consulte Como migrar zonas assinadas pela DNSSEC do Cloud DNS.
Se seu domínio atual for hospedado pelo registrador, recomendamos migrar os servidores de nomes para o Cloud DNS antes de transferi-los para outro registrador.
A seguir
- Para visualizar registros de chave de DNSSEC, consulte Como visualizar chaves de DNSSEC.
- Para trabalhar com zonas gerenciadas, consulte Criar, modificar e excluir zonas.
- Para achar soluções de problemas comuns que podem ser encontrados ao usar o Cloud DNS, consulte Solução de problemas.
- Para uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS.