Administrar la configuración de DNSSEC

Esta página describe cómo habilitar y deshabilitar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) y verificar la implementación de DNSSEC.

Para obtener una descripción general conceptual de DNSSEC, consulte Descripción general de DNSSEC .

Habilitar DNSSEC para zonas públicas administradas existentes

Para habilitar DNSSEC para zonas públicas administradas existentes, siga estos pasos.

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

Habilitar DNSSEC al crear zonas

Para habilitar DNSSEC al crear una zona, siga estos pasos.

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Verificar la implementación de DNSSEC

Para verificar la correcta implementación de su zona con DNSSEC habilitado, asegúrese de haber colocado el registro DS correcto en la zona principal. La resolución de DNSSEC puede fallar si se produce alguna de las siguientes situaciones:

• La configuración es incorrecta o la has escrito mal.
• Ha colocado el registro DS incorrecto en la zona principal.

Para verificar que tiene la configuración correcta y cotejar el registro DS antes de colocarlo en la zona principal, utilice las siguientes herramientas:

• DNSViz
• Depurador DNSSEC de Verisign
• Maestro de zona

Puede usar el depurador DNSSEC de Verisign y los sitios de Zonemaster para validar su configuración DNSSEC antes de actualizar su registrador con sus servidores de nombres DNS en la nube o registro DS. Un dominio configurado correctamente para DNSSEC es example.com , visible mediante DNSViz.

Configuraciones TTL recomendadas para zonas firmadas con DNSSEC

TTL es el tiempo de vida (en segundos) para una zona firmada por DNSSEC.

A diferencia de los vencimientos de TTL, que son relativos al momento en que un servidor de nombres envía una respuesta a una consulta, las firmas DNSSEC caducan en un tiempo absoluto fijo. Los TTL configurados con un tiempo de vida superior al de una firma pueden provocar que muchos clientes soliciten registros al mismo tiempo que caduca la firma DNSSEC. Los TTL cortos también pueden causar problemas a los resolutores que validan DNSSEC.

Para obtener más recomendaciones sobre la selección de TTL, consulte la sección 4.4.1 Consideraciones de tiempo del RFC 6781 y la Figura 11 del RFC 6781 .

Al leer la sección 4.4.1 del RFC 6781, tenga en cuenta que muchos parámetros de tiempo de firma están fijados por Cloud DNS y no se pueden modificar. No se pueden modificar los siguientes parámetros (sujetos a cambios sin previo aviso ni actualización de este documento):

• Desplazamiento de inicio = 1 día
• Periodo de validez = 21 días
• Periodo de renovación de firma = 3 días
• Periodo de actualización = 18 días
• Intervalo de fluctuación = ½ día (o ±6 horas)
• Validez mínima de la firma = actualización – fluctuación = 17,75 días = 1533600

Nunca debe utilizar un TTL más largo que la validez mínima de la firma.

Deshabilitar DNSSEC para zonas administradas

Después de haber eliminado los registros DS y esperado a que caduquen del caché, puede usar el siguiente comando gcloud para desactivar DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Reemplace EXAMPLE_ZONE con el ID de la zona.

¿Qué sigue?

• Para obtener información sobre configuraciones específicas de DNSSEC, consulte Usar DNSSEC avanzado .
• Para trabajar con zonas administradas, consulte Crear, modificar y eliminar zonas .
• Para encontrar soluciones a problemas comunes que pueda encontrar al usar Cloud DNS, consulte Solución de problemas .
• Para obtener una descripción general de Cloud DNS, consulte Descripción general de Cloud DNS .