Visão geral das extensões de segurança de DNS (DNSSEC)

As extensões de segurança do Sistema de Nomes de Domínio (DNSSEC, na sigla em inglês) são um recurso do Sistema de Nome de Domínio (DNS, na sigla em inglês) que autentica respostas a pesquisas de nome de domínio. Isso não fornece proteções de privacidade para as pesquisas, mas impede que invasores manipulem ou envenenem as respostas a solicitações de DNS.

Há três lugares em que você precisa ativar e configurar o DNSSEC para proteger domínios contra spoofing e ataques de envenenamento:

  1. A zona de DNS do seu domínio precisa exibir registros DNSSEC especiais para chaves públicas (DNSKEY), assinaturas (RRSIG) e não existência (NSEC, NSEC3 e NSEC3PARAM) para autenticar o conteúdo da sua zona. O Cloud DNS gerenciará isso automaticamente se você ativar o DNSSEC de uma zona.

  2. O registro de domínio de nível superior (TLD), que para example.com, seria .com, precisa ter um registro DS que autentique um registro DNSKEY na sua zona. Para isso, ative o DNSSEC no seu registrador de domínio.

  3. Para uma proteção DNSSEC completa, é necessário usar um resolvedor de DNS que valide assinaturas de domínios assinados pelo DNSSEC. Ative a validação para sistemas individuais ou para seus resolvedores de cache locais se você administra os serviços DNS da rede.

    Para mais informações sobre a validação do DNSSEC, consulte os recursos a seguir:

    Também é possível configurar sistemas para usar resolvedores públicos que validem o DNSSEC, especialmente o DNS público do Google e do Verisign (em inglês).

O segundo ponto limita os nomes de domínio em que o DNSSEC pode funcionar. O registrador e o registro precisam aceitar o DNSSEC para o TLD que você está usando. Se não for possível adicionar um registro DS por meio do registrador de domínio para ativar o DNSSEC, ativá-lo no Cloud DNS não surtirá efeito.

Antes de ativar o DNSSEC, verifique os recursos a seguir:

  • A documentação do DNSSEC para seu registrador de domínio e registro TLD
  • As instruções específicas do registrador de domínio do tutorial da comunidade do Google Cloud
  • A lista ICANN de compatibilidade do DNSSEC do registrador de domínio para confirmar se o DNSSEC é compatível com o domínio

Se o registro TLD for compatível com o DNSSEC, mas seu registrador não for (ou não for compatível com esse TLD), transfira seus domínios para um registrador diferente que seja compatível. Depois de concluir esse processo, ative o DNSSEC para o domínio.

Operações de gerenciamento

Para instruções passo a passo sobre o gerenciamento do DNSSEC, consulte os recursos a seguir:

Tipos de conjuntos de registros aprimorados por DNSSEC

Para mais informações sobre tipos de conjunto de registros e outros tipos de registro, consulte os recursos a seguir:

  • Para controlar quais autoridades de certificação (CAs) públicas podem gerar TLS ou outros certificados para seu domínio, consulte Registros CAA.

  • Para ativar a criptografia oportunista por meio de túneis de IPsec, consulte Registros IPSECKEY.

Como usar novos tipos de registro DNS com zonas protegidas por DNSSEC

Para mais informações sobre tipos de registro DNS e outros tipos de registro, consulte o recurso a seguir:

  • Para permitir que os aplicativos clientes SSH validem os servidores SSH, consulte Registros SSHFP.

A seguir