En esta página se describe cómo activar y desactivar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) en tu registrador de dominios.
Para obtener información sobre DNSSEC, consulta la información general sobre DNSSEC.
Activar DNSSEC en el registrador de tu dominio
Después de habilitar DNSSEC en las zonas públicas gestionadas, debes activar DNSSEC en el registrador de tu dominio. Para activar DNSSEC, crea un registro DS para tu dominio en la zona principal de forma que los resolvedores puedan identificar que tu dominio tiene habilitado DNSSEC y puedan validar sus datos.
Cada registrador tiene un procedimiento diferente para crear este registro DS. Muchos registradores usan un formulario de sitio web. Para obtener más información, consulta la documentación de tu registrador.
Después de activar DNSSEC, el registro DS debe propagarse por todo el DNS. Este proceso puede tardar 24 horas o más, en función de los valores de tiempo de vida (TTL) que hayas definido para tus registros DNS y del comportamiento de almacenamiento en caché de los diferentes solucionadores de DNS.
Antes de activar DNSSEC en dominios importantes, prueba a fondo tu configuración de DNS.
Obtener registros DS
Para obtener los registros DS de tu zona, sigue estos pasos:
Consola
En la consola de Google Cloud, ve a la página Crear una zona DNS. Google Cloud
Haz clic en la zona de la que quieras obtener los registros DS.
Haz clic en Configuración de registro.
Copia los registros DS del cuadro de diálogo. Los registros DS son similares a los siguientes:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Usa el comando gcloud dns dns-keys list.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Haz los cambios siguientes:
MANAGED_ZONE: el nombre de la zona gestionada
El resultado es similar al siguiente:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Inhabilitar DNSSEC en tu registrador de dominios
Antes de inhabilitar DNSSEC en una zona gestionada que quieras seguir usando, debes desactivar DNSSEC en tu zona en el registrador de tu dominio para asegurarte de que los resolvers que validan DNSSEC puedan seguir resolviendo nombres en la zona.
Para desactivar las DNSSEC, elimina todos los registros DS de tu dominio de la zona principal. De esta forma, los resolvers no podrán usar las DNSSEC para validar los datos de tu dominio.
Después de eliminar los registros DS del registrador, debes esperar a que se propaguen a todos los resolvedores antes de poder desactivar DNSSEC en la zona. Este proceso puede tardar 24 horas o más, en función de la latencia de propagación del registrador, el registro y el almacenamiento en caché del resolvedor.
Cuando confirmes que el registro DS se ha eliminado de tu registrador y que los resolvers ya no pueden acceder a él, podrás inhabilitar DNSSEC en la zona sin problemas.
Siguientes pasos
- Para obtener información sobre configuraciones de DNSSEC específicas, consulta Usar DNSSEC avanzadas.
- Para encontrar soluciones a problemas habituales que pueden surgir al usar Cloud DNS, consulta la sección Solución de problemas.
- Para obtener una descripción general de Cloud DNS, consulta el artículo Información general sobre Cloud DNS.