Usa DNSSEC y registradores

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se describe cómo activar y desactivar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) en tu registrador de dominios.

Para ver una descripción general conceptual de DNSSEC, consulta Descripción general de DNSSEC.

Activa DNSSEC en tu registrador de dominios

Después de habilitar DNSSEC para tu zona, debes activar DNSSEC en tu registrador. Si deseas activar DNSSEC, crea un registro DS para tu dominio en la zona principal, a fin de que los agentes de resolución sepan que tu dominio está habilitado para DNSSEC y puede validar sus datos. Cada registrador tiene un procedimiento diferente para crear este registro DS; muchos registradores usan un formulario de sitio web.

Puedes encontrar instrucciones específicas del registrador de dominios para varios registradores diferentes en el instructivo de la comunidad de Google Cloud Activa DNSSEC para los dominios de Cloud DNS.

Asegúrate de probar tu configuración de DNS con anticipación antes de activar DNSSEC en dominios importantes. Una vez que hayas activado DNSSEC, puede tardar 24 horas o más en desactivarse si es necesario debido a retrasos de propagación y almacenamiento en caché del agente de resolución.

Obtén registros DS

Para obtener registros DS de tu zona, sigue estos pasos:

Console

  1. En la consola de Google Cloud, ve a la página Crear una zona del DNS.

    Ir a Crear una zona de DNS

  2. Haz clic en la zona cuyos registros DS deseas obtener.

  3. Haz clic en Configuración del registrador.

  4. Copia los registros DS desde el cuadro de diálogo. Los registros DS son similares a los siguientes:

    18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
    

gcloud

Usa el comando gcloud dns dns-keys list.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

Reemplaza lo siguiente:

  • MANAGED_ZONE: El nombre de la zona administrada

El resultado es similar al siguiente:

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

Desactiva DNSSEC en tu registrador de dominios

Antes de inhabilitar DNSSEC para una zona administrada que deseas usar, debes desactivar DNSSEC en tu registrador de dominios a fin de asegurarte de que los agentes de resolución que validan DNSSEC puedan continuar resolviendo nombres en la zona.

Para desactivar DNSSEC, debes quitar todos los registros DS de tu dominio de la zona principal, de modo que los agentes de resolución ya no intenten usar DNSSEC para validar tus datos de dominio. Cada registrador tiene un procedimiento diferente para quitar estos registros DS; muchos registradores usan un formulario del sitio web.

Puedes encontrar instrucciones específicas del registrador de dominios para varios registradores diferentes en el instructivo de la comunidad de Google Cloud Activa DNSSEC para los dominios de Cloud DNS.

Una vez que los registros DS se quitan del registrador, debe esperar a que la eliminación del registro DS se propague a todos los agentes de resolución antes de desactivar DNSSEC para la zona. Esto puede tardar 24 horas o más según la latencia de propagación que genere el registrador o el almacenamiento en caché del registro o agente de resolución.

Una vez que los registros DS no sean visibles para ningún agente de resolución, podrás desactivar DNSSEC para la zona de forma segura.

¿Qué sigue?