Descripción general de las extensiones de seguridad de DNS (DNSSEC)

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son una función del sistema de nombres de dominio (DNS) que autentica las respuestas a las búsquedas de nombres de dominio. No ofrece protección de la privacidad para esas búsquedas, pero evita que los atacantes manipulen o envenenen las respuestas a las solicitudes de DNS.

Para proteger los dominios de ataques de spoofing y envenenamiento, habilita y configura DNSSEC en los siguientes lugares:

1. La zona DNS. Si habilitas DNSSEC en una zona, Cloud DNS gestiona automáticamente la creación y la rotación de claves DNSSEC (registros DNSKEY) y la firma de datos de zona con registros de firma digital de registros de recursos (RRSIG).

2. El registro de dominio de nivel superior (TLD) (en el caso de example.com, sería .com). En el registro de TLD, debes tener un registro DS que autentique un registro DNSKEY en tu zona. Para ello, activa DNSSEC en el registrador de tu dominio.

3. El resolvedor de DNS. Para disfrutar de una protección DNSSEC completa, debes usar un solucionador de DNS que valide las firmas de los dominios firmados con DNSSEC. Puedes habilitar la validación en sistemas concretos o en tus resolvedores de caché locales si administras los servicios DNS de tu red.

   Para obtener más información sobre la validación de DNSSEC, consulta los siguientes recursos:

   • ¿Tienes habilitada la validación de DNSSEC?
   • Implementar DNSSEC con BIND y Ubuntu Server (parte 1)
   • Guía de DNSSEC: capítulo 3. Validación
   • DNSSEC

   También puedes configurar los sistemas para que usen resoluciones públicas que validen DNSSEC, como Google Public DNS y Verisign Public DNS.

El segundo punto limita los nombres de dominio en los que puede funcionar DNSSEC. Tanto el registrador como el registro deben admitir DNSSEC para el TLD que estés usando. Si no puedes añadir un registro DS a través de tu registrador de dominios para activar DNSSEC, habilitar DNSSEC en Cloud DNS no tendrá ningún efecto.

Antes de habilitar DNSSEC, consulta los siguientes recursos:

• La documentación de DNSSEC de tu registrador de dominios y del registro de TLD
• Las instrucciones específicas del registrador de dominios del Google Cloud tutorial de la comunidad
• Consulta la lista de ICANN de registradores de dominios que admiten DNSSEC para confirmar si tu dominio es compatible con DNSSEC.

Si el registro de TLD admite DNSSEC, pero tu registrador no lo hace (o no lo admite para ese TLD), es posible que puedas transferir tus dominios a otro registrador que sí lo haga. Una vez que hayas completado ese proceso, podrás activar DNSSEC en el dominio.

Operaciones de gestión

Para obtener instrucciones detalladas sobre cómo gestionar DNSSEC, consulta los siguientes recursos:

• Para cambiar el estado de DNSSEC de la zona de Transfer a On, consulta Salir del estado de transferencia de DNSSEC.

• Para habilitar las DNSSEC en subdominios delegados, consulta el artículo sobre cómo delegar subdominios firmados con DNSSEC.

Tipos de conjuntos de registros mejorados por DNSSEC

Para obtener más información sobre los tipos de conjuntos de registros y otros tipos de registros, consulta los siguientes recursos:

• Para controlar qué autoridades de certificación (CAs) públicas pueden generar certificados TLS u otros certificados para tu dominio, consulta registros CAA.

• Para habilitar el cifrado oportunista a través de túneles IPsec, consulta los registros IPSECKEY.

Tipos de registros DNS con zonas protegidas por DNSSEC

Para obtener más información sobre los tipos de registros DNS y otros tipos de registros, consulta el siguiente recurso:

• Para permitir que las aplicaciones cliente SSH validen los servidores SSH, consulta Registros SSHFP.

Migración o transferencia de zonas con DNSSEC habilitado

Cloud DNS admite la migración de zonas con DNSSEC habilitado en las que DNSSEC se ha activado en el registro de dominios sin romper la cadena de confianza. Puedes migrar zonas a otros operadores de DNS o desde ellos si también admiten la migración.

• Para migrar una zona firmada con DNSSEC a Cloud DNS, consulta el artículo Migrar zonas firmadas con DNSSEC a Cloud DNS.

• Para migrar una zona firmada con DNSSEC a otro operador de DNS, consulta Migrar zonas firmadas con DNSSEC desde Cloud DNS.

Si tu dominio está alojado en tu registrador, te recomendamos que migres los servidores de nombres a Cloud DNS antes de transferirlo a otro registrador.

Siguientes pasos

• Para ver los registros de claves DNSSEC, consulta Ver claves DNSSEC.
• Para trabajar con zonas gestionadas, consulta Crear, modificar y eliminar zonas.
• Para encontrar soluciones a problemas habituales que pueden surgir al usar Cloud DNS, consulta la sección Solución de problemas.
• Para obtener una descripción general de Cloud DNS, consulta el artículo Información general sobre Cloud DNS.