Descripción general de las extensiones de seguridad DNS (DNSSEC)

Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) son una función del Sistema de Nombres de Dominio (DNS) que autentica las respuestas a las búsquedas de nombres de dominio. No protege la privacidad de dichas búsquedas, pero impide que los atacantes manipulen o envenenen las respuestas a las solicitudes DNS.

Para proteger los dominios de ataques de suplantación y envenenamiento, habilite y configure DNSSEC en los siguientes lugares:

  1. La zona DNS. Si habilita DNSSEC para una zona, Cloud DNS gestiona automáticamente la creación y rotación de claves DNSSEC (registros DNSKEY) y la firma de los datos de la zona con registros de firma digital de registros de recursos (RRSIG).

  2. El registro de dominio de nivel superior (TLD) (por example.com , .com, sería .com ). En su registro de TLD, debe tener un registro DS que autentique un registro DNSKEY en su zona. Para ello, active DNSSEC en su registrador de dominios.

  3. El solucionador DNS. Para una protección completa de DNSSEC, debe usar un solucionador DNS que valide las firmas de los dominios firmados con DNSSEC. Puede habilitar la validación para sistemas individuales o para sus solucionadores de caché locales si administra los servicios DNS de su red.

    Para obtener más información sobre la validación de DNSSEC, consulte los siguientes recursos:

    También puede configurar sistemas para utilizar solucionadores públicos que validen DNSSEC, en particular Google Public DNS y Verisign Public DNS .

El segundo punto limita los nombres de dominio donde DNSSEC puede funcionar. Tanto el registrador como el registro deben ser compatibles con DNSSEC para el TLD que utilice. Si no puede agregar un registro DS a través de su registrador de dominios para activar DNSSEC, habilitar DNSSEC en Cloud DNS no surtirá ningún efecto.

Antes de habilitar DNSSEC, verifique los siguientes recursos:

  • La documentación de DNSSEC tanto para su registrador de dominio como para su registro de TLD
  • ElGoogle Cloud Instrucciones específicas para registradores de dominios del tutorial de la comunidad
  • La lista de ICANN de registradores de dominios compatibles con DNSSEC para confirmar la compatibilidad de DNSSEC con su dominio.

Si el registro de TLD admite DNSSEC, pero su registrador no (o no lo admite para ese TLD), podría transferir sus dominios a otro registrador que sí lo admita. Una vez completado este proceso, podrá activar DNSSEC para el dominio.

Operaciones de gestión

Para obtener instrucciones paso a paso sobre cómo administrar DNSSEC, consulte los siguientes recursos:

Tipos de conjuntos de registros mejorados por DNSSEC

Para obtener más información sobre los tipos de conjuntos de registros y otros tipos de registros, consulte los siguientes recursos:

  • Para controlar qué autoridades de certificación públicas (CA) pueden generar certificados TLS u otros certificados para su dominio, consulte Registros de CAA .

  • Para habilitar el cifrado oportunista a través de túneles IPsec, consulte Registros IPSECKEY .

Tipos de registros DNS con zonas protegidas por DNSSEC

Para obtener más información sobre los tipos de registros DNS y otros tipos de registros, consulte el siguiente recurso:

  • Para permitir que las aplicaciones cliente SSH validen servidores SSH, consulte Registros SSHFP .

Migración o transferencia de zonas habilitadas para DNSSEC

Cloud DNS permite migrar zonas con DNSSEC activado en el registro del dominio sin romper la cadena de confianza. Puede migrar zonas desde o hacia otros operadores de DNS que también admitan la migración.

Si su dominio existente está alojado por su registrador, le recomendamos migrar los servidores de nombres a Cloud DNS antes de transferirlo a otro registrador.

¿Qué sigue?