Gerenciar configuração DNSSEC

Esta página descreve como habilitar e desabilitar as Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) e verificar a implantação do DNSSEC.

Para uma visão geral conceitual do DNSSEC, consulte a Visão geral do DNSSEC .

Habilitar DNSSEC para zonas públicas gerenciadas existentes

Para habilitar o DNSSEC para zonas públicas gerenciadas existentes, siga estas etapas.

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

Habilitar DNSSEC ao criar zonas

Para habilitar o DNSSEC ao criar uma zona, siga estas etapas.

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Verificar implantação do DNSSEC

Para verificar a implantação correta da sua zona habilitada para DNSSEC, certifique-se de ter inserido o registro DS correto na zona pai. A resolução de DNSSEC pode falhar se ocorrer qualquer uma das seguintes situações:

• A configuração está errada ou você a digitou incorretamente.
• Você colocou o registro DS incorreto na zona pai.

Para verificar se você tem a configuração correta e verificar o registro DS antes de colocá-lo na zona pai, use as seguintes ferramentas:

• DNSViz
• Depurador DNSSEC da Verisign
• Mestre de Zona

Você pode usar o depurador DNSSEC da Verisign e os sites Zonemaster para validar sua configuração DNSSEC antes de atualizar seu registrador com seus servidores de nomes DNS do Cloud ou registro DS. Um domínio configurado corretamente para DNSSEC é example.com , que pode ser visualizado usando o DNSViz.

Configurações TTL recomendadas para zonas assinadas por DNSSEC

TTL é o tempo de vida (em segundos) para uma zona assinada por DNSSEC.

Ao contrário das expirações de TTL, que são relativas ao momento em que um servidor de nomes envia uma resposta a uma consulta, as assinaturas DNSSEC expiram em um horário absoluto fixo. TTLs configurados por mais tempo do que o tempo de vida de uma assinatura podem fazer com que muitos clientes solicitem registros ao mesmo tempo em que a assinatura DNSSEC expira. TTLs curtos também podem causar problemas para os resolvedores de validação de DNSSEC.

Para obter mais recomendações sobre a seleção de TTL, consulte a seção 4.4.1 Considerações de tempo do RFC 6781 e a Figura 11 do RFC 6781 .

Ao ler a seção 4.4.1 do RFC 6781, considere que muitos parâmetros de tempo de assinatura são fixos pelo Cloud DNS e não podem ser alterados. Você não pode alterar os seguintes parâmetros (sujeitos a alterações sem aviso prévio ou atualização deste documento):

• Deslocamento inicial = 1 dia
• Período de validade = 21 dias
• Período de renovação de assinatura = 3 dias
• Período de atualização = 18 dias
• Intervalo de jitter = ½ dia (ou ±6 horas)
• Validade mínima da assinatura = atualização – jitter = 17,75 dias = 1533600

Você nunca deve usar um TTL maior que a validade mínima da assinatura.

Desabilitar DNSSEC para zonas gerenciadas

Depois de remover os registros DS e esperar que eles expirem do cache, você pode usar o seguinte comando gcloud para desativar o DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Substitua EXAMPLE_ZONE pelo ID da zona.

O que vem a seguir

• Para obter informações sobre configurações específicas de DNSSEC, consulte Usar DNSSEC avançado .
• Para trabalhar com zonas gerenciadas, consulte Criar, modificar e excluir zonas .
• Para encontrar soluções para problemas comuns que você pode encontrar ao usar o Cloud DNS, consulte Solução de problemas .
• Para obter uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS .