Esta página descreve como ativar e desativar as Extensões de Segurança do Sistema de Nome de Domínio (DNSSEC, na sigla em inglês) no seu registrador de domínios.
Consulte a visão geral das DNSSEC para ter uma visão geral conceitual das DNSSEC.
Ativar as DNSSEC no registrador de domínio
Depois de habilitar as DNSSEC para a zona, você precisará ativá-lo no registrador. Para ativá-las, crie um registro do DS para seu domínio na zona pai. Assim, os resolvedores sabem que seu domínio está habilitado para DNSSEC e podem validar os dados dele. Cada registrador tem um procedimento diferente para criar esse registro DS. Muitos deles usam um formulário de site.
É possível encontrar instruções específicas de registrador de domínios para vários registradores diferentes no tutorial da Comunidade do Google Cloud Ativar as DNSSEC para domínios do Cloud DNS.
Teste a configuração de DNS por completo antes de ativar as DNSSEC em domínios importantes. Depois de ativar as DNSSEC, se for necessário desativar, o processo pode levar até 24 horas devido aos atrasos de propagação e ao armazenamento em cache do resolvedor.
Acessar registros de DS
Para acessar os registros DS da sua zona, siga estas etapas:
Console
No Console do Google Cloud, acesse a página Criar uma zona de DNS.
Clique na zona referente aos registros do DS.
Clique em Configuração do registrador.
Copie os registros de DS da caixa de diálogo. Os registros de DS são semelhantes aos seguintes:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Use o comando gcloud dns dns-keys list.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Substitua:
MANAGED_ZONE: o nome da zona gerenciada
O resultado será semelhante a este:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Desativar as DNSSEC no registrador de domínio
Antes de desativar as DNSSEC de uma zona gerenciada que você ainda queira usar, é necessário desativá-la da zona no seu registrador de domínio para garantir que os resolvedores de validação de DNSSEC ainda possam resolver nomes na zona.
Para desativar as DNSSEC, remova todos os registros DS do seu domínio da zona pai para que os resolvedores não tentem mais usar as DNSSEC para validar os dados do domínio. Cada registrador tem um procedimento diferente para remover esses registros DS. Muitos deles usam um formulário de site.
É possível encontrar instruções específicas de registrador de domínios para vários registradores diferentes no tutorial da Comunidade do Google Cloud Ativar as DNSSEC para domínios do Cloud DNS.
Depois que os registros de DS são removidos do registrador, é preciso aguardar a remoção deles para que seja propagada por todos os resolvedores antes de desativar as DNSSEC da zona. Isso pode levar 24 horas ou mais, dependendo da latência de propagação causada pelo registrador ou pelo registro e armazenamento em cache do resolvedor.
Quando os registros DS não estiverem mais visíveis para os resolvedores, será possível desativar as DNSSEC da zona com segurança.
A seguir
- Para informações sobre configurações de DNSSEC específicas, consulte Usar DNSSEC avançadas.
- Para achar soluções de problemas comuns que podem ser encontrados ao usar o Cloud DNS, consulte Solução de problemas.
- Para uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS.