Usa DNSSEC y registradores

En esta página, se describe cómo activar y desactivar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) en tu registrador de dominios.

Para ver una descripción general conceptual de DNSSEC, consulta Descripción general de DNSSEC.

Activa DNSSEC en tu registrador de dominios

Después de habilitar DNSSEC para tu zona, debes activar DNSSEC en tu registrador. Si deseas activar DNSSEC, crea un registro DS para tu dominio en la zona principal, a fin de que los agentes de resolución sepan que tu dominio está habilitado para DNSSEC y puede validar sus datos. Cada registrador tiene un procedimiento diferente para crear este registro DS; muchos registradores usan un formulario de sitio web.

Puedes encontrar instrucciones específicas del registrador de dominios para varios registradores diferentes en el instructivo de la comunidad de Google Cloud Activa DNSSEC para los dominios de Cloud DNS.

Asegúrate de probar tu configuración de DNS con anticipación antes de activar DNSSEC en dominios importantes. Una vez que hayas activado DNSSEC, puede tardar 24 horas o más en desactivarse si es necesario debido a retrasos de propagación y almacenamiento en caché del agente de resolución.

Desactiva DNSSEC en tu registrador de dominios

Antes de inhabilitar DNSSEC para una zona administrada que deseas usar, debes desactivar DNSSEC en tu registrador de dominios a fin de asegurarte de que los agentes de resolución que validan DNSSEC puedan continuar resolviendo nombres en la zona.

Para desactivar DNSSEC, debes quitar todos los registros DS de tu dominio de la zona principal, de modo que los agentes de resolución ya no intenten usar DNSSEC para validar tus datos de dominio. Cada registrador tiene un procedimiento diferente para quitar estos registros DS; muchos registradores usan un formulario del sitio web.

Puedes encontrar instrucciones específicas del registrador de dominios para varios registradores diferentes en el instructivo de la comunidad de Google Cloud Activa DNSSEC para los dominios de Cloud DNS.

Una vez que los registros DS se quitan del registrador, debe esperar a que la eliminación del registro DS se propague a todos los agentes de resolución antes de desactivar DNSSEC para la zona. Esto puede tardar 24 horas o más según la latencia de propagación que genere el registrador o el almacenamiento en caché del registro o agente de resolución.

Una vez que los registros DS no sean visibles para ningún agente de resolución, podrás desactivar DNSSEC para la zona de forma segura.

¿Qué sigue?