Panoramica delle estensioni DNSSEC (Domain Name System Security Extensions)

DNSSEC (Domain Name System Security Extensions) è una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche dei nomi di dominio. Non fornisce protezioni della privacy per queste ricerche, ma impedisce agli utenti malintenzionati di manipolare o avvelenare le risposte alle richieste DNS.

Per proteggere i domini da attacchi di spoofing e poisoning, attiva e configura DNSSEC nei seguenti punti:

  1. La zona DNS. Se attivi le DNSSEC per una zona, Cloud DNS gestisce automaticamente la creazione e la rotazione delle chiavi DNSSEC (record DNSKEY) e la firma dei dati della zona con i record RRSIG (firma digitale del record della risorsa).

  2. Il registry del dominio di primo livello (TLD) (per example.com, si tratta di .com). Nel registry del TLD, devi avere un record DS che autentica un record DNSKEY nella tua zona. A tal fine, attiva DNSSEC nel registrar del tuo dominio.

  3. Il resolver DNS. Per una protezione completa di DNSSEC, devi utilizzare un resolver DNS che convalida le firme per i domini firmati DNSSEC. Puoi attivare la convalida per i singoli sistemi o per i resolver con cache locale se amministri i servizi DNS della tua rete.

    Per ulteriori informazioni sulla convalida DNSSEC, consulta le seguenti risorse:

    Puoi anche configurare i sistemi in modo che utilizzino resolver pubblici che convalidano DNSSEC, tra cui Google Public DNS e Verisign Public DNS.

Il secondo punto limita i nomi di dominio in cui può funzionare DNSSEC. Sia il registrar sia il registry devono supportare DNSSEC per il TLD che utilizzi. Se non riesci ad aggiungere un record DS tramite il tuo registrar di domini per attivare le DNSSEC, l'attivazione delle DNSSEC in Cloud DNS non ha alcun effetto.

Prima di attivare DNSSEC, consulta le seguenti risorse:

  • La documentazione DNSSEC sia per il registrar del dominio sia per il registry dei TLD
  • Le istruzioni specifiche per il registrar di dominio del tutorial della community di Google Cloud
  • L'elenco ICANN del supporto DNSSEC dei registrar di domini per verificare il supporto DNSSEC per il tuo dominio.

Se il registry del TLD supporta DNSSEC, ma il tuo registrar no (o non lo supporta per quel TLD), potresti essere in grado di trasferire i tuoi domini a un altro registrar che lo supporta. Al termine della procedura, puoi attivare DNSSEC per il dominio.

Operazioni di gestione

Per istruzioni dettagliate sulla gestione di DNSSEC, consulta le seguenti risorse:

Tipi di set di record ottimizzati da DNSSEC

Per ulteriori informazioni sui tipi di set di record e su altri tipi di record, consulta le seguenti risorse:

  • Per controllare quali autorità di certificazione pubbliche (CA) possono generare certificati TLS o altri certificati per il tuo dominio, consulta Record CAA.

  • Per attivare la crittografia opportunistica tramite i tunnel IPsec, consulta Record IPSECKEY.

Tipi di record DNS con zone protette da DNSSEC

Per ulteriori informazioni sui tipi di record DNS e su altri tipi di record, consulta la seguente risorsa:

  • Per consentire alle applicazioni client SSH di convalidare i server SSH, consulta Record SSHFP.

Migrazione o trasferimento di zone con DNSSEC abilitato

Cloud DNS supporta la migrazione delle zone con DNSSEC abilitato in cui DNSSEC è stato attivato nel registry del dominio senza interrompere la catena di attendibilità. Puoi eseguire la migrazione delle zone verso o da altri operatori DNS che supportano anche la migrazione.

Se il tuo dominio esistente è ospitato dal tuo registrar, ti consigliamo di eseguire la migrazione dei server dei nomi a Cloud DNS prima di trasferirlo a un altro registrar.

Passaggi successivi