Visão geral das extensões de segurança de DNS (DNSSEC)
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
As extensões de segurança do Sistema de Nomes de Domínio (DNSSEC, na sigla em inglês) são um recurso do Sistema de Nome de Domínio (DNS, na sigla em inglês) que autentica respostas a pesquisas de nome de domínio.
Isso não fornece proteções de privacidade para as pesquisas, mas impede que invasores manipulem ou envenenem as respostas a solicitações de DNS.
Para proteger os domínios contra spoofing e ataques de envenenamento, ative e configure a DNSSEC nos seguintes locais:
A zona de DNS. Se você ativar a DNSSEC em uma zona, o Cloud DNS gerenciará automaticamente a criação e a rotação de chaves de DNSSEC (registros DNSKEY) e a assinatura dos dados da zona com registros de assinatura digital de registro de recurso (RRSIG, na sigla em inglês).
O registro de domínio de nível superior (TLD, na sigla em inglês) (para example.com, isso corresponde a .com). No registro TLD, você precisa ter um registro DS que autentique um registro DNSKEY na sua zona. Para isso, ative a DNSSEC no seu registrador de domínio.
O resolvedor de DNS. Para uma proteção DNSSEC completa, é necessário usar um resolvedor de DNS que valide assinaturas de domínios assinados por DNSSEC. Se você administra os serviços DNS da sua rede, ative a validação em sistemas individuais ou nos seus resolvedores locais de armazenamento em cache.
Para mais informações sobre a validação do DNSSEC, consulte os recursos a seguir:
Também é possível configurar sistemas para usar resolvedores públicos que validem o DNSSEC, especialmente o DNS público do Google e do Verisign (em inglês).
O segundo ponto limita os nomes de domínio em que o DNSSEC pode funcionar.
O registrador e o registro precisam aceitar o DNSSEC para o TLD que você está usando. Se não for possível adicionar um registro DS por meio do registrador de domínio para ativar o DNSSEC, ativá-lo no Cloud DNS não surtirá efeito.
Antes de ativar o DNSSEC, verifique os recursos a seguir:
A documentação do DNSSEC para seu registrador de domínio e registro TLD
A lista ICANN
de compatibilidade do DNSSEC do registrador de domínio para confirmar se o DNSSEC é compatível com o domínio.
Se o registro TLD for compatível com o DNSSEC, mas seu registrador não for (ou não for compatível com esse TLD), transfira seus domínios para um registrador diferente que seja compatível. Depois de concluir esse processo, ative o DNSSEC para o domínio.
Operações de gerenciamento
Para instruções passo a passo sobre o gerenciamento do DNSSEC, consulte os recursos a seguir:
Tipos de conjuntos de registros aprimorados por DNSSEC
Para mais informações sobre tipos de conjunto de registros e outros tipos de registro, consulte os recursos a seguir:
Para controlar quais autoridades de certificação (CAs) públicas podem gerar TLS ou outros certificados para seu domínio, consulte Registros CAA.
Para ativar a criptografia oportunista via túneis de IPsec, consulte Registros IPSECKEY.
Tipos de registro DNS com zonas protegidas por DNSSEC
Para mais informações sobre tipos de registro DNS e outros tipos de registro, consulte o recurso a seguir:
Para permitir que os aplicativos clientes SSH validem os servidores SSH, consulte Registros SSHFP.
Migração ou transferência de zonas com DNSSEC ativadas
O Cloud DNS permite a migração de zonas habilitadas para DNSSEC em que elas foram ativadas no registro do domínio sem comprometer a cadeia de confiança. É possível
migrar zonas de ou para outros operadores DNS que também são compatíveis com a migração.
Se seu domínio atual for hospedado pelo registrador, recomendamos migrar os
servidores de nomes para o Cloud DNS antes de transferi-los para outro registrador.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-11 UTC."],[[["\u003cp\u003eDNSSEC authenticates domain name lookup responses, preventing attackers from manipulating or poisoning them, but it does not offer privacy for these lookups.\u003c/p\u003e\n"],["\u003cp\u003eTo fully protect domains with DNSSEC, it must be enabled in the DNS zone, the top-level domain (TLD) registry, and the DNS resolver.\u003c/p\u003e\n"],["\u003cp\u003eDNSSEC's functionality is contingent on both the domain registrar and the registry supporting the TLD, otherwise enabling DNSSEC in Cloud DNS will have no effect.\u003c/p\u003e\n"],["\u003cp\u003eCloud DNS supports the migration of DNSSEC-enabled zones to and from other DNS operators without disrupting the chain of trust.\u003c/p\u003e\n"],["\u003cp\u003eBefore enabling DNSSEC, verify that your domain registrar and TLD registry both support DNSSEC and check for registrar-specific instructions.\u003c/p\u003e\n"]]],[],null,["# DNS Security Extensions (DNSSEC) overview\n\nThe Domain Name System Security Extensions (DNSSEC) is a feature of the Domain\nName System (DNS) that authenticates responses to domain name lookups.\nIt does *not* provide privacy protections for those lookups,\nbut prevents attackers from manipulating or poisoning the responses to DNS\nrequests.\n\nTo protect domains from spoofing and poisoning attacks, enable and configure\nDNSSEC in the following places:\n\n1. The DNS zone. If you [enable DNSSEC](/dns/docs/dnssec-config#enabling) for\n a zone, Cloud DNS automatically manages the creation and rotation of\n DNSSEC keys (DNSKEY records) and the signing of zone data with resource\n record digital signature (RRSIG) records.\n\n2. The top-level domain (TLD) registry (for `example.com`, this would be `.com`).\n In your TLD registry, you must have a DS record that authenticates a DNSKEY\n record in your zone. Do this by [activating DNSSEC](/dns/docs/registrars#add-ds)\n at your domain registrar.\n\n3. The DNS resolver. For full DNSSEC protection, you must use a DNS resolver\n that *validates* signatures for DNSSEC-signed domains. You can enable\n validation for individual systems or your local caching resolvers if you\n administer your network's DNS services.\n\n For more information about DNSSEC validation, see the following resources:\n - [Do you have DNSSEC validation enabled?](https://blog.apnic.net/2017/05/11/dnssec-validation-enabled/)\n - [Deploying DNSSEC with BIND and Ubuntu Server\n (Part 1)](https://blog.apnic.net/2019/05/23/how-to-deploying-dnssec-with-bind-and-ubuntu-server/)\n - [DNSSEC Guide: Chapter 3. Validation](https://dnsinstitute.com/documentation/dnssec-guide/ch03s03.html)\n - [DNSSEC](https://wiki.debian.org/DNSSEC)\n\n You can also configure systems to use public resolvers that validate DNSSEC,\n notably [Google Public DNS](https://developers.google.com/speed/public-dns/docs/using)\n and [Verisign Public DNS](https://www.verisign.com/security-services/public-dns/index.xhtml).\n\nThe second point limits the domain names where DNSSEC can work.\nBoth the [registrar and registry](https://support.google.com/domains/answer/3251189)\nmust support DNSSEC for the TLD that you are using. If you cannot add a DS\nrecord through your domain registrar to activate DNSSEC,\nenabling DNSSEC in Cloud DNS has no effect.\n\nBefore enabling DNSSEC, check the following resources:\n\n- The DNSSEC documentation for both your domain registrar and TLD registry\n- The [Google Cloud community tutorial's](/community/tutorials/dnssec-cloud-dns-domains#domain_registrar-specific_instructions) domain registrar-specific instructions\n- The [ICANN list](https://www.icann.org/search/#!/?searchText=domain%20registrar%20DNSSEC%20support) of domain registrar DNSSEC support to confirm DNSSEC support for your domain.\n\nIf the TLD registry supports DNSSEC, but your registrar does not\n(or does not support it for that TLD), you might be able to transfer\nyour domains to a different registrar that does. After you have completed that\nprocess, you can activate DNSSEC for the domain.\n\nManagement operations\n---------------------\n\nFor step-by-step instructions for managing DNSSEC, see the following resources:\n\n- To change the DNSSEC state of the zone from `Transfer` to `On`, see\n [Leaving DNSSEC transfer state](/dns/docs/dnssec-config#leaving-transfer).\n\n- To enable DNSSEC for delegated subdomains, see\n [Delegating DNSSEC-signed subdomains](/dns/docs/dnssec-advanced#subdelegation).\n\nRecord set types enhanced by DNSSEC\n-----------------------------------\n\nFor more information about record set types and other record types, see the\nfollowing resources:\n\n- To control which public certificate authorities (CAs) can generate TLS or\n other certificates for your domain, see\n [CAA records](/dns/docs/dnssec-advanced#caa).\n\n- To enable opportunistic encryption through IPsec tunnels, see\n [IPSECKEY records](/dns/docs/dnssec-advanced#ipseckey).\n\nDNS record types with DNSSEC-secured zones\n------------------------------------------\n\nFor more information about DNS record types and other record types, see the\nfollowing resource:\n\n- To enable SSH client applications to validate SSH servers, see [SSHFP records](/dns/docs/dnssec-advanced#sshfp).\n\nMigration or transfer of DNSSEC-enabled zones\n---------------------------------------------\n\nCloud DNS supports migrating DNSSEC-enabled zones where DNSSEC has been\nactivated at the domain registry without breaking the chain of trust. You can\nmigrate zones to or from other DNS operators that also support migration.\n\n- To migrate a DNSSEC-signed zone to Cloud DNS, see\n [Migrate DNSSEC-signed zones to Cloud DNS](/dns/docs/dnssec-migrate#migrating-to).\n\n- To migrate a DNSSEC-signed zone to another DNS operator, see\n [Migrate DNSSEC-signed zones from Cloud DNS](/dns/docs/dnssec-migrate#migrating-from).\n\nIf your existing domain is hosted by your registrar, we recommend migrating the\nname servers to Cloud DNS before transferring to another registrar.\n\nWhat's next\n-----------\n\n- To view DNSSEC key records, see [View DNSSEC keys](/dns/docs/dnskeys).\n- To work with managed zones, see [Create, modify, and delete zones](/dns/docs/zones).\n- To find solutions for common issues that you might encounter when using Cloud DNS, see [Troubleshooting](/dns/docs/troubleshooting).\n- To get an overview of Cloud DNS, see [Cloud DNS overview](/dns/docs/overview)."]]
