Questa pagina descrive come attivare e disattivare la sicurezza del DNS (Domain Name System) Estensioni (DNSSEC) del registrar di domini.
Per una panoramica concettuale di DNSSEC, consulta la panoramica di DNSSEC.
Attivare DNSSEC presso il tuo registrar di dominio
Dopo aver abilitato DNSSEC per la tua zona, potrai devi attivare DNSSEC nel tuo registrar. Per attivare DNSSEC, devi creare un record DS per il tuo dominio nella zona principale in modo che i resolver sappiano che il tuo dominio è abilitato a DNSSEC e possano convalidarne i dati. Ogni registrar ha un una procedura diversa per creare il record DS; molti registrar utilizzano un modulo per siti web.
Puoi trovare le istruzioni specifiche del registrar di domini per molti registrar diversi nel tutorial della community Google Cloud Attiva DNSSEC per i domini Cloud DNS.
Assicurati di testare attentamente la configurazione DNS prima di attivare DNSSEC su domini importanti. Dopo aver attivato DNSSEC, potrebbero essere necessarie almeno 24 ore da disattivare se necessario a causa di ritardi di propagazione e memorizzazione nella cache del resolver.
Ottieni i record DS
Per ottenere i record DS per la tua zona:
Console
Nella console Google Cloud, vai alla pagina Crea una zona DNS.
Fai clic sulla zona per la quale desideri i record DS.
Fai clic su Configurazione del registrar.
Copia i record DS dalla finestra di dialogo. I record DS sono simili ai seguenti:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Utilizza il comando gcloud dns dns-keys list.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Sostituisci quanto segue:
MANAGED_ZONE: il nome della zona gestita
L'output è simile al seguente:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Disattiva DNSSEC nel registrar del dominio
Prima di disattivare DNSSEC per una zona gestita che vuoi comunque utilizzare, devi disattivare DNSSEC per la tua zona presso il tuo registrar di dominio per assicurarti che i resolver con convalida DNSSEC possano comunque risolvere i nomi nella zona.
Per disattivare DNSSEC, rimuovi tutti i record DS per il tuo dominio dalla zona principale in modo che i resolver non provino più a utilizzare DNSSEC per convalidare i dati del tuo dominio. Ogni registrar ha una procedura diversa per rimuovere questi record DS; molti registrar utilizzano un modulo per siti web.
Puoi trovare le istruzioni specifiche del registrar di domini per molti registrar diversi nel tutorial della community Google Cloud Attiva DNSSEC per i domini Cloud DNS.
Dopo aver rimosso i record DS dal registrar, devi attendere che venga rimozione del record DS per propagarsi a tutti i resolver prima di disattivare DNSSEC per la zona. Questa operazione potrebbe richiedere 24 ore o più, a seconda della latenza di propagazione a carico del registrar o del registry e della memorizzazione nella cache del resolver.
Una volta che i record DS non sono più visibili a nessun risolver, puoi disattivare DNSSEC per la zona in tutta sicurezza.
Passaggi successivi
- Per informazioni su configurazioni DNSSEC specifiche, consulta Utilizzare le impostazioni avanzate DNSSEC.
- Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la sezione Risoluzione dei problemi.
- Per una panoramica di Cloud DNS, consulta la panoramica di Cloud DNS.