Vista geral das extensões de segurança de DNS (DNSSEC)

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) são uma funcionalidade do Sistema de Nomes de Domínio (DNS) que autentica as respostas às pesquisas de nomes de domínio. Não oferece proteções de privacidade para essas pesquisas, mas impede que os atacantes manipulem ou envenenem as respostas a pedidos de DNS.

Para proteger os domínios contra ataques de spoofing e envenenamento, ative e configure as DNSSEC nos seguintes locais:

  1. A zona DNS. Se ativar as DNSSEC para uma zona, o Cloud DNS gere automaticamente a criação e a rotação das chaves DNSSEC (registos DNSKEY) e a assinatura dos dados da zona com registos de assinatura digital de registos de recursos (RRSIG).

  2. O registo de domínio de nível superior (TLD) (para example.com, seria .com). No registo de TLD, tem de ter um registo DS que autentique um registo DNSKEY na sua zona. Para tal, ative as DNSSEC no registador de domínios.

  3. O resolvedor de DNS. Para uma proteção DNSSEC completa, tem de usar um resolvedor de DNS que valide as assinaturas de domínios assinados com DNSSEC. Pode ativar a validação para sistemas individuais ou os seus resolvedores de cache locais se administrar os serviços DNS da sua rede.

    Para mais informações sobre a validação de DNSSEC, consulte os seguintes recursos:

    Também pode configurar os sistemas para usar resolvedores públicos que validam as DNSSEC, nomeadamente o DNS público da Google e o DNS público da Verisign.

O segundo ponto limita os nomes de domínio onde as DNSSEC podem funcionar. Tanto a entidade de registo como a base de dados de registo têm de suportar DNSSEC para o TLD que está a usar. Se não conseguir adicionar um registo DS através do registador de domínios para ativar as DNSSEC, a ativação das DNSSEC no Cloud DNS não tem qualquer efeito.

Antes de ativar as DNSSEC, consulte os seguintes recursos:

  • A documentação das DNSSEC para a entidade de registo do domínio e a base de dados de registo de TLD
  • As instruções específicas da entidade de registo de domínios do Google Cloud tutorial da comunidade
  • A lista da ICANN de apoio técnico de DNSSEC da entidade de registo de domínio para confirmar o apoio técnico de DNSSEC para o seu domínio.

Se o registo do TLD suportar DNSSEC, mas a sua entidade de registo não o fizer (ou não o suportar para esse TLD), pode transferir os seus domínios para uma entidade de registo diferente que o faça. Depois de concluir esse processo, pode ativar as DNSSEC para o domínio.

Operações de gestão

Para ver instruções passo a passo sobre como gerir o DNSSEC, consulte os seguintes recursos:

Tipos de conjuntos de registos melhorados pela DNSSEC

Para mais informações sobre os tipos de conjuntos de registos e outros tipos de registos, consulte os seguintes recursos:

  • Para controlar que autoridades de certificação (ACs) públicas podem gerar certificados TLS ou outros certificados para o seu domínio, consulte os registos CAA.

  • Para ativar a encriptação oportunista através de túneis IPsec, consulte os registos IPSECKEY.

Tipos de registos de DNS com zonas protegidas por DNSSEC

Para mais informações sobre os tipos de registos de DNS e outros tipos de registos, consulte o seguinte recurso:

  • Para permitir que as aplicações cliente SSH validem servidores SSH, consulte os registos SSHFP.

Migração ou transferência de zonas com DNSSEC ativadas

O Cloud DNS suporta a migração de zonas com DNSSEC ativadas, em que as DNSSEC foram ativadas no registo de domínios, sem interromper a cadeia de confiança. Pode migrar zonas para ou a partir de outros operadores de DNS que também suportem a migração.

Se o seu domínio existente estiver alojado pela sua entidade de registo, recomendamos que migre os servidores de nomes para o Cloud DNS antes de transferir para outra entidade de registo.

O que se segue?