Esta página describe cómo activar y desactivar las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) en su registrador de dominio.
Para obtener más información sobre DNSSEC, consulte la descripción general de DNSSEC .
Activa DNSSEC en tu registrador de dominios
Después de habilitar DNSSEC para las zonas públicas administradas existentes , debe activarlo en su registrador de dominios. Para activar DNSSEC, cree un registro DS para su dominio en la zona principal para que los solucionadores puedan identificar que su dominio tiene DNSSEC habilitado y validar sus datos.
Cada registrador tiene un procedimiento diferente para crear este registro DS. Muchos registradores utilizan un formulario web. Para más información, consulte la documentación de su registrador.
Tras activar DNSSEC, el registro DS debe propagarse por todo el DNS. Este proceso puede tardar 24 horas o más, dependiendo del tiempo de vida (TTL) que configure para sus registros DNS y del comportamiento de almacenamiento en caché de los diferentes solucionadores DNS.
Antes de activar DNSSEC en dominios importantes, pruebe exhaustivamente su configuración de DNS.
Obtener registros DS
Para obtener registros DS para su zona, siga estos pasos:
Consola
En el Google Cloud consola, vaya a la página Crear una zona DNS .
Haga clic en la zona para la cual desea los registros DS.
Haga clic en Configuración del registrador .
Copiar los registros DS desde el cuadro de diálogo. Los registros DS son similares a los siguientes:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
nube g
Utilice el comando gcloud dns dns-keys list .
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Reemplace lo siguiente:
-
MANAGED_ZONE: el nombre de la zona administrada
El resultado es similar al siguiente:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Desactivar DNSSEC en su registrador de dominio
Antes de deshabilitar DNSSEC para una zona administrada que aún desea utilizar, debe desactivar DNSSEC para su zona en su registrador de dominio para ayudar a garantizar que los resolutores de validación de DNSSEC aún puedan resolver nombres en la zona.
Para desactivar DNSSEC, elimine todos los registros DS de su dominio de la zona principal; esta acción evita que los solucionadores utilicen DNSSEC para validar los datos de su dominio.
Tras eliminar los registros DS del registrador, debe esperar a que la eliminación se propague a todos los resolutores antes de poder desactivar DNSSEC en la zona. Este proceso puede tardar 24 horas o más, dependiendo de la latencia de propagación del almacenamiento en caché del registrador, el registro y el resolutor.
Después de confirmar que el registro DS se eliminó de su registrador y ya no es accesible para los resolutores, puede deshabilitar DNSSEC de manera segura para la zona .
¿Qué sigue?
- Para obtener información sobre configuraciones específicas de DNSSEC, consulte Usar DNSSEC avanzado .
- Para encontrar soluciones a problemas comunes que pueda encontrar al usar Cloud DNS, consulte Solución de problemas .
- Para obtener una descripción general de Cloud DNS, consulte Descripción general de Cloud DNS .