Questa pagina descrive come attivare e disattivare le estensioni DNSSEC (Domain Name System Security Extensions) presso il tuo registrar di domini.
Per saperne di più su DNSSEC, consulta la panoramica di DNSSEC.
Attivare DNSSEC presso il tuo registrar di dominio
Dopo aver abilitato DNSSEC per le zone pubbliche gestite esistenti, devi attivare DNSSEC presso il tuo registrar di domini. Per attivare DNSSEC, crea un record DS per il tuo dominio nella zona principale in modo che i resolver possano identificare il tuo dominio come abilitato a DNSSEC e convalidarne i dati.
Ogni registrar ha una procedura diversa per creare questo record DS. Molti registrar utilizzano un modulo del sito web. Per ulteriori informazioni, consulta la documentazione del tuo registrar.
Dopo aver attivato DNSSEC, il record DS deve essere propagato nell'intero DNS. Questa operazione può richiedere 24 ore o più, a seconda dei valori durata (TTL) impostati per i record DNS e del comportamento della cache dei diversi resolver DNS.
Prima di attivare DNSSEC su domini importanti, testa attentamente la configurazione DNS.
Ottenere i record DS
Per ottenere i record DS per la tua zona:
Console
Nella console Google Cloud, vai alla pagina Crea una zona DNS.
Fai clic sulla zona per cui vuoi i record DS.
Fai clic su Configurazione del registrar.
Copia i record DS dalla finestra di dialogo. I record DS sono simili ai seguenti:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Utilizza il comando gcloud dns dns-keys list.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Sostituisci quanto segue:
MANAGED_ZONE: il nome della zona gestita
L'output è simile al seguente:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Disattivare DNSSEC presso il registrar del dominio
Prima di disattivare DNSSEC per una zona gestita che vuoi comunque utilizzare, devi disattivare DNSSEC per la tua zona presso il registrar del dominio per assicurarti che i resolver che convalidano DNSSEC possano comunque risolvere i nomi nella zona.
Per disattivare DNSSEC, rimuovi tutti i record DS per il tuo dominio dalla zona principale. Questa azione impedisce ai resolver di utilizzare DNSSEC per convalidare i dati del tuo dominio.
Dopo aver rimosso i record DS dal registrar, devi attendere che la rimozione del record DS venga propagata a tutti i resolver prima di poter disattivare DNSSEC per la zona. Questa procedura potrebbe richiedere 24 ore o più, a seconda della latenza di propagazione dovuta alla memorizzazione nella cache del registrar, del registry e del resolver.
Dopo aver verificato che il record DS è stato rimosso dal registrar e non è più accessibile ai resolver, puoi tranquillamente disattivare DNSSEC per la zona.
Passaggi successivi
- Per informazioni su configurazioni DNSSEC specifiche, consulta Utilizzare DNSSEC avanzato.
- Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la sezione Risoluzione dei problemi.
- Per una panoramica di Cloud DNS, consulta la panoramica di Cloud DNS.