Utilizzare DNSSEC e registrar

Questa pagina descrive come attivare e disattivare le estensioni DNSSEC (Domain Name System Security Extensions) presso il tuo registrar di dominio.

Per una panoramica concettuale di DNSSEC, consulta la panoramica DNSSEC.

Attiva DNSSEC nel tuo registrar di dominio

Dopo aver attivato DNSSEC per la tua zona, devi attivare DNSSEC nel tuo registrar. Per attivare DNSSEC, devi creare un record DS per il tuo dominio nella zona principale in modo che i risolutori sappiano che il tuo dominio è abilitato per DNSSEC e può convalidarne i dati. Ogni registrar utilizza una procedura diversa per creare questo record DS; molti registrar utilizzano un modulo per il sito web.

Puoi trovare istruzioni specifiche per i registrar di domini per molti registrar diversi nel tutorial della community di Google Cloud Attivare DNSSEC per i domini Cloud DNS.

Assicurati di testare attentamente la configurazione DNS prima di attivare DNSSEC su domini importanti. Dopo l'attivazione di DNSSEC, potrebbero essere necessarie 24 ore o più la disattivazione, se necessario a causa di ritardi di propagazione e memorizzazione nella cache del resolver.

Disattiva DNSSEC nel tuo registrar di dominio

Prima di disabilitare DNSSEC per una zona gestita che vuoi ancora utilizzare, devi disattivare DNSSEC per la zona presso il registrar di dominio, in modo che i resolver convalidanti DNSSEC possano comunque risolvere i nomi nella zona.

Per disattivare DNSSEC, rimuovi tutti i record DS per il tuo dominio dalla zona principale in modo che i resolver non provino più a utilizzare DNSSEC per convalidare i dati del tuo dominio. Ogni registrar utilizza una procedura diversa per rimuovere questi record DS; molti registrar utilizzano un modulo per il sito web.

Puoi trovare istruzioni specifiche per i registrar di domini per molti registrar diversi nel tutorial della community di Google Cloud Attivare DNSSEC per i domini Cloud DNS.

Dopo aver rimosso i record DS dal registrar, devi attendere che la rimozione del record DS si propaghi a tutti i resolver prima di disattivare DNSSEC per la zona. Questa operazione può richiedere fino a 24 ore o più, a seconda della latenza di propagazione causata dal registrar o dal registrar e dalla memorizzazione nella cache del resolver.

Quando i record DS non saranno più visibili ai resolver, puoi disattivare DNSSEC per la zona in tutta sicurezza.

Passaggi successivi