En esta página, se describe cómo activar y desactivar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) en tu registrador de dominios.
Para obtener información sobre DNSSEC, consulta la descripción general de DNSSEC.
Activa DNSSEC en tu registrador de dominios
Después de habilitar DNSSEC para las zonas públicas administradas existentes, debes activar DNSSEC en tu registrador de dominios. Para activar DNSSEC, crea un registro DS para tu dominio en la zona superior, de modo que los agentes de resolución puedan identificar que tu dominio está habilitado para DNSSEC y validar sus datos.
Cada registrador tiene un procedimiento diferente para crear este registro DS. Muchos registradores usan un formulario de sitio web. Para obtener más información, consulta la documentación de tu registrador.
Después de activar DNSSEC, el registro DS debe propagarse por todo el DNS. Este proceso puede tardar 24 horas o más, según los valores de tiempo de actividad (TTL) que configures para tus registros DNS y el comportamiento de almacenamiento en caché de los diferentes agentes de resolución de DNS.
Antes de activar DNSSEC en dominios importantes, prueba tu configuración de DNS con anticipación.
Obtén registros DS
Para obtener registros DS de tu zona, sigue estos pasos:
Console
En la consola de Google Cloud, ve a la página Crear una zona del DNS.
Haz clic en la zona cuyos registros DS deseas obtener.
Haz clic en Configuración del registrador.
Copia los registros DS desde el cuadro de diálogo. Los registros DS son similares a los siguientes:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Usa el comando gcloud dns dns-keys list.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Reemplaza lo siguiente:
MANAGED_ZONE: El nombre de la zona administrada
El resultado es similar al siguiente:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Desactiva DNSSEC en tu registrador de dominios
Antes de inhabilitar DNSSEC para una zona administrada que deseas usar, debes desactivar DNSSEC en tu registrador de dominios para asegurarte de que los agentes de resolución que validan DNSSEC puedan continuar resolviendo nombres en la zona.
Para desactivar DNSSEC, quita todos los registros DS de tu dominio de la zona superior. Esta acción evita que los agentes de resolución usen DNSSEC para validar tus datos de dominio.
Una vez que quites los registros DS del registrador, debes esperar a que la eliminación del registro DS se propague a todos los agentes de resolución antes de poder desactivar DNSSEC para la zona. Este proceso puede tardar 24 horas o más, según la latencia de propagación que genere el registrador, el registro y el almacenamiento en caché del agente de resolución.
Una vez que confirmes que el registro DS se quitó de tu registrador y que los agentes de resolución ya no pueden acceder a él, puedes inhabilitar DNSSEC para la zona de forma segura.
¿Qué sigue?
- Para obtener información sobre configuraciones específicas de DNSSEC, consulta Usa DNSSEC avanzadas.
- Para encontrar soluciones a problemas comunes que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
- Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.