Esta página descreve como ativar e desativar as Extensões de Segurança do Sistema de Nome de Domínio (DNSSEC, na sigla em inglês) no seu registrador de domínios.
Para saber mais sobre a DNSSEC, consulte a visão geral da DNSSEC.
Ativar as DNSSEC no registrador de domínio
Depois de ativar o DNSSEC para zonas públicas gerenciadas atuais, você precisa ativar o DNSSEC no registrador de domínio. Para ativar o DNSSEC, crie um registro DS para seu domínio na zona pai. Assim, os resolvedores podem identificar que seu domínio está habilitado para DNSSEC e podem validar os dados dele.
Cada registrador tem um procedimento diferente para criar esse registro DS. Muitos registradores usam um formulário de site. Para mais informações, consulte a documentação do seu registrador.
Depois de ativar o DNSSEC, o registro de DS precisa ser propagado em todo o DNS. Esse processo pode levar 24 horas ou mais, dependendo dos valores de time to live (TTL) definidos para seus registros DNS e do comportamento de armazenamento em cache de diferentes resolvedores de DNS.
Antes de ativar as DNSSEC em domínios importantes, teste a configuração de DNS completamente.
Acessar registros de DS
Para acessar os registros DS da sua zona, siga estas etapas:
Console
No Console do Google Cloud, acesse a página Criar uma zona de DNS.
Clique na zona referente aos registros do DS.
Clique em Configuração do registrador.
Copie os registros de DS da caixa de diálogo. Os registros de DS são semelhantes aos seguintes:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Use o comando gcloud dns dns-keys list
.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Substitua:
MANAGED_ZONE
: o nome da zona gerenciada
O resultado será semelhante a este:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Desativar as DNSSEC no registrador de domínio
Antes de desativar a DNSSEC de uma zona gerenciada que você ainda queira usar, é necessário desativá-la da zona no seu registrador de domínio para garantir que os resolvedores de validação de DNSSEC ainda possam resolver nomes na zona.
Para desativar as DNSSEC, remova todos os registros DS do seu domínio da zona mãe. Essa ação impede que os resolvedores usem as DNSSEC para validar os dados do domínio.
Depois de remover os registros DS do registrador, é preciso aguardar a remoção do registro DS para que seja propagada por todos os resolvedores antes de desativar as DNSSEC da zona. Esse processo pode levar 24 horas ou mais, dependendo da latência de propagação causada pelo armazenamento em cache do registrador, do registro e do resolvedor.
Depois de confirmar que o registro DS foi removido do registrador e não está mais acessível aos resolvedores, é possível desativar o DNSSEC para a zona com segurança.
A seguir
- Para informações sobre configurações de DNSSEC específicas, consulte Usar DNSSEC avançadas.
- Para achar soluções de problemas comuns que podem ser encontrados ao usar o Cloud DNS, consulte Solução de problemas.
- Para uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS.