Visão geral das extensões de segurança DNS (DNSSEC),Visão geral das extensões de segurança DNS (DNSSEC)

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) são um recurso do Sistema de Nomes de Domínio (DNS) que autentica respostas a pesquisas de nomes de domínio. Elas não oferecem proteção de privacidade para essas pesquisas, mas impedem que invasores manipulem ou envenenem as respostas às solicitações de DNS.

Para proteger domínios contra ataques de spoofing e envenenamento, habilite e configure o DNSSEC nos seguintes locais:

1. A zona DNS. Se você habilitar o DNSSEC para uma zona, o Cloud DNS gerenciará automaticamente a criação e a rotação de chaves DNSSEC (registros DNSKEY) e a assinatura de dados da zona com registros de assinatura digital de registro de recursos (RRSIG).

2. O registro de domínio de nível superior (TLD) (por example.com , .com, seria .com ). No seu registro de TLD, você deve ter um registro DS que autentique um registro DNSKEY na sua zona. Para isso, ative o DNSSEC no seu registrador de domínio.

3. O resolvedor de DNS. Para proteção completa do DNSSEC, você deve usar um resolvedor de DNS que valide assinaturas para domínios assinados por DNSSEC. Você pode habilitar a validação para sistemas individuais ou para seus resolvedores de cache locais se administrar os serviços de DNS da sua rede.

   Para obter mais informações sobre a validação de DNSSEC, consulte os seguintes recursos:

   • Você tem a validação DNSSEC habilitada?
   • Implantando DNSSEC com BIND e Ubuntu Server (Parte 1)
   • Guia DNSSEC: Capítulo 3. Validação
   • DNSSEC

   Você também pode configurar sistemas para usar resolvedores públicos que validam DNSSEC, principalmente Google Public DNS e Verisign Public DNS .

O segundo ponto limita os nomes de domínio onde o DNSSEC pode funcionar. Tanto o registrador quanto o registro devem oferecer suporte ao DNSSEC para o TLD que você está usando. Se você não conseguir adicionar um registro DS por meio do seu registrador de domínio para ativar o DNSSEC, habilitar o DNSSEC no Cloud DNS não terá efeito.

Antes de habilitar o DNSSEC, verifique os seguintes recursos:

• A documentação DNSSEC para o seu registrador de domínio e registro de TLD
• OGoogle Cloud instruções específicas do registrador de domínio do tutorial da comunidade
• A lista da ICANN de registradores de domínios com suporte ao DNSSEC para confirmar o suporte ao DNSSEC para seu domínio.

Se o registro de TLD oferecer suporte a DNSSEC, mas o seu registrador não oferecer (ou não oferecer suporte para esse TLD), você poderá transferir seus domínios para outro registrador que ofereça. Após concluir esse processo, você poderá ativar o DNSSEC para o domínio.

Operações de gestão

Para obter instruções passo a passo sobre como gerenciar o DNSSEC, consulte os seguintes recursos:

• Para alterar o estado DNSSEC da zona de Transfer para On , consulte Saindo do estado de transferência DNSSEC .

• Para habilitar o DNSSEC para subdomínios delegados, consulte Delegando subdomínios assinados por DNSSEC .

Tipos de conjuntos de registros aprimorados pelo DNSSEC

Para obter mais informações sobre tipos de conjuntos de registros e outros tipos de registros, consulte os seguintes recursos:

• Para controlar quais autoridades de certificação públicas (CAs) podem gerar TLS ou outros certificados para seu domínio, consulte Registros CAA .

• Para habilitar a criptografia oportunista por meio de túneis IPsec, consulte registros IPSECKEY .

Tipos de registro DNS com zonas protegidas por DNSSEC

Para obter mais informações sobre tipos de registro DNS e outros tipos de registro, consulte o seguinte recurso:

• Para permitir que aplicativos cliente SSH validem servidores SSH, consulte Registros SSHFP .

Migração ou transferência de zonas habilitadas para DNSSEC

O Cloud DNS oferece suporte à migração de zonas habilitadas para DNSSEC, onde o DNSSEC foi ativado no registro de domínio, sem quebrar a cadeia de confiança. Você pode migrar zonas de ou para outros operadores de DNS que também ofereçam suporte à migração.

• Para migrar uma zona assinada por DNSSEC para o Cloud DNS, consulte Migrar zonas assinadas por DNSSEC para o Cloud DNS .

• Para migrar uma zona assinada por DNSSEC para outro operador DNS, consulte Migrar zonas assinadas por DNSSEC do Cloud DNS .

Se o seu domínio existente for hospedado pelo seu registrador, recomendamos migrar os servidores de nomes para o Cloud DNS antes de transferir para outro registrador.

O que vem a seguir

• Para visualizar registros de chaves DNSSEC, consulte Exibir chaves DNSSEC .
• Para trabalhar com zonas gerenciadas, consulte Criar, modificar e excluir zonas .
• Para encontrar soluções para problemas comuns que você pode encontrar ao usar o Cloud DNS, consulte Solução de problemas .
• Para obter uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS .

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) são um recurso do Sistema de Nomes de Domínio (DNS) que autentica respostas a pesquisas de nomes de domínio. Elas não oferecem proteção de privacidade para essas pesquisas, mas impedem que invasores manipulem ou envenenem as respostas às solicitações de DNS.

Para proteger domínios contra ataques de spoofing e envenenamento, habilite e configure o DNSSEC nos seguintes locais:

1. A zona DNS. Se você habilitar o DNSSEC para uma zona, o Cloud DNS gerenciará automaticamente a criação e a rotação de chaves DNSSEC (registros DNSKEY) e a assinatura de dados da zona com registros de assinatura digital de registro de recursos (RRSIG).

2. O registro de domínio de nível superior (TLD) (por example.com , .com, seria .com ). No seu registro de TLD, você deve ter um registro DS que autentique um registro DNSKEY na sua zona. Para isso, ative o DNSSEC no seu registrador de domínio.

3. O resolvedor de DNS. Para proteção completa do DNSSEC, você deve usar um resolvedor de DNS que valide assinaturas para domínios assinados por DNSSEC. Você pode habilitar a validação para sistemas individuais ou para seus resolvedores de cache locais se administrar os serviços de DNS da sua rede.

   Para obter mais informações sobre a validação de DNSSEC, consulte os seguintes recursos:

   • Você tem a validação DNSSEC habilitada?
   • Implantando DNSSEC com BIND e Ubuntu Server (Parte 1)
   • Guia DNSSEC: Capítulo 3. Validação
   • DNSSEC

   Você também pode configurar sistemas para usar resolvedores públicos que validam DNSSEC, principalmente Google Public DNS e Verisign Public DNS .

O segundo ponto limita os nomes de domínio onde o DNSSEC pode funcionar. Tanto o registrador quanto o registro devem oferecer suporte ao DNSSEC para o TLD que você está usando. Se você não conseguir adicionar um registro DS por meio do seu registrador de domínio para ativar o DNSSEC, habilitar o DNSSEC no Cloud DNS não terá efeito.

Antes de habilitar o DNSSEC, verifique os seguintes recursos:

• A documentação DNSSEC para o seu registrador de domínio e registro de TLD
• OGoogle Cloud instruções específicas do registrador de domínio do tutorial da comunidade
• A lista da ICANN de registradores de domínios com suporte ao DNSSEC para confirmar o suporte ao DNSSEC para seu domínio.

Se o registro de TLD oferecer suporte a DNSSEC, mas o seu registrador não oferecer (ou não oferecer suporte para esse TLD), você poderá transferir seus domínios para outro registrador que ofereça. Após concluir esse processo, você poderá ativar o DNSSEC para o domínio.

Operações de gestão

Para obter instruções passo a passo sobre como gerenciar o DNSSEC, consulte os seguintes recursos:

• Para alterar o estado DNSSEC da zona de Transfer para On , consulte Saindo do estado de transferência DNSSEC .

• Para habilitar o DNSSEC para subdomínios delegados, consulte Delegando subdomínios assinados por DNSSEC .

Tipos de conjuntos de registros aprimorados pelo DNSSEC

Para obter mais informações sobre tipos de conjuntos de registros e outros tipos de registros, consulte os seguintes recursos:

• Para controlar quais autoridades de certificação públicas (CAs) podem gerar TLS ou outros certificados para seu domínio, consulte Registros CAA .

• Para habilitar a criptografia oportunista por meio de túneis IPsec, consulte registros IPSECKEY .

Tipos de registro DNS com zonas protegidas por DNSSEC

Para obter mais informações sobre tipos de registro DNS e outros tipos de registro, consulte o seguinte recurso:

• Para permitir que aplicativos cliente SSH validem servidores SSH, consulte Registros SSHFP .

Migração ou transferência de zonas habilitadas para DNSSEC

O Cloud DNS oferece suporte à migração de zonas habilitadas para DNSSEC, onde o DNSSEC foi ativado no registro de domínio, sem quebrar a cadeia de confiança. Você pode migrar zonas de ou para outros operadores de DNS que também ofereçam suporte à migração.

• Para migrar uma zona assinada por DNSSEC para o Cloud DNS, consulte Migrar zonas assinadas por DNSSEC para o Cloud DNS .

• Para migrar uma zona assinada por DNSSEC para outro operador DNS, consulte Migrar zonas assinadas por DNSSEC do Cloud DNS .

Se o seu domínio existente for hospedado pelo seu registrador, recomendamos migrar os servidores de nomes para o Cloud DNS antes de transferir para outro registrador.

O que vem a seguir

• Para visualizar registros de chaves DNSSEC, consulte Exibir chaves DNSSEC .
• Para trabalhar com zonas gerenciadas, consulte Criar, modificar e excluir zonas .
• Para encontrar soluções para problemas comuns que você pode encontrar ao usar o Cloud DNS, consulte Solução de problemas .
• Para obter uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS .