Migrar ou transferir zonas habilitadas para DNSSEC

Esta página descreve como migrar uma zona habilitada para DNSSEC que é ativada no registrador de domínio entre o Cloud DNS e outros provedores de hospedagem de DNS, mantendo a cadeia de confiança do DNSSEC.

Para uma visão geral conceitual do DNSSEC, consulte Visão geral do DNSSEC .

Antes de começar

A migração de DNSSEC é complexa e exige coordenação para migrar uma zona entre operadoras sem incorrer em interrupções. Leia este guia na íntegra antes de transferir ou migrar uma zona. Recomendamos que você teste o processo de migração em uma zona menos crítica antes de tentar migrar zonas de produção críticas.

Coordenar com operadores de DNS e registradores de domínio

Para evitar que os resolvedores de validação tratem o domínio como inválido, você deve coordenar a migração com os operadores de DNS e o registrador de domínio. Essa etapa garante que você possa estabelecer e manter uma cadeia de confiança válida da zona pai para as chaves gerenciadas por ambos os operadores de DNS durante a transição.

Se o seu registrador de domínio também fornecer hospedagem DNS, você deverá coordenar com ele a migração da cadeia de confiança DNSSEC. Se o registrador não oferecer suporte a essa operação, você não poderá migrar os servidores de nomes enquanto mantém a cadeia de confiança DNSSEC.

Aguarde a expiração dos caches do resolvedor

Durante a migração, após fazer atualizações críticas de registros, aguarde a expiração dos caches do resolvedor. Essa etapa evita erros de validação causados ​​por registros antigos em cache inconsistentes com a zona atualizada após a migração para os novos servidores de nomes.

Limitações

A migração de uma zona DNSSEC tem as seguintes limitações:

  • Você só pode migrar uma zona mantendo a cadeia de confiança DNSSEC se o novo operador e registrador oferecerem suporte à migração DNSSEC, incluindo a importação de registros DNSKEY, a configuração de vários registros DS e a prevenção da rotação automática de chaves durante a migração.

  • Você deve usar o mesmo algoritmo em ambas as operadoras, pois as zonas devem ser assinadas com todos os algoritmos em uso. Para obter detalhes, consulte a seção 2.2 da RFC 4035. O Cloud DNS só pode assinar com um algoritmo por vez. Não é possível alterar algoritmos durante a migração entre provedores.

  • Você deve conseguir importar registros DNSKEY do Cloud DNS para a zona da outra operadora e assinar esses registros com as chaves da operadora. O Cloud DNS permite adicionar registros DNSKEY para zonas no modo de Transfer .

  • Você deve conseguir adicionar um segundo registro DS do Cloud DNS à zona pai. O registrador ou a zona pai deve permitir registros DS que correspondam a chaves públicas que não assinem nenhum registro na zona filha.

  • Você precisa conseguir interromper a rotação automática de chaves pelo operador antigo ou novo para a zona até que a migração seja concluída. O Cloud DNS interrompe automaticamente a rotação de chaves para zonas no modo Transfer .

Se a nova operadora não oferecer suporte à migração, faça o seguinte:

  1. Desative o DNSSEC no seu registrador .
  2. Execute a transferência ou migração.
  3. Habilitar DNSSEC .
  4. Ative o DNSSEC no seu registrador .

Para uma apresentação informativa sobre DNSSEC e transferências de domínio e possíveis armadilhas, consulte DNS/DNSSEC e transferências de domínio: são compatíveis?.

Migração entre operadores

A abordagem técnica que o Cloud DNS usa para migrações de DNSSEC é a variante de rollover Double-DS KSK descrita no RFC 6781 Apêndice D Abordagem de rollover alternativa para operadores cooperantes .

A migração do DNSSEC funciona sem a troca de chaves privadas ou assinaturas entre os operadores de DNS. Em vez disso, os servidores de nomes existentes e a zona-mãe pré-publicam registros assinados para as chaves públicas do novo operador, além das chaves públicas do operador antigo. Da mesma forma, os novos servidores de nomes publicam registros assinados para as chaves do operador antigo, além das chaves do novo operador.

Essas chaves do outro operador são assinadas, criando confiança cruzada entre os dois operadores e a zona pai, de modo que os resolvedores de validação podem usar registros de um operador para validar as respostas do outro. Esse processo permite a transição para os servidores de nomes do novo operador sem interrupção.

Após a propagação desses registros, os resolvedores podem validar as respostas de ambos os operadores durante o período de transição subsequente, enquanto os novos registros de delegação do servidor de nomes são propagados para todos os caches do resolvedor.

Após a propagação dos registros atualizados do servidor de nomes, você poderá finalizar a migração. Você pode remover a zona filha dos servidores de nomes antigos e remover a âncora de confiança do operador antigo da zona pai.

Migrar zonas assinadas por DNSSEC para o Cloud DNS

Antes de começar, revise todas as instruções . Você também precisa verificar se o seu provedor oferece suporte à migração . Caso contrário, você não poderá migrar a zona usando este processo.

Para realizar a migração, siga estas etapas:

  1. Pare toda a rotação de chaves para a zona no servidor de nomes antigo.

  2. Crie uma nova zona assinada por DNSSEC no estado Transfer de DNSSEC. O estado Transfer interrompe a rotação de chaves e permite a importação de DNSKEYs.

    Você deve usar os mesmos algoritmos em uso no provedor existente.

  3. Exporte seus arquivos de zona não assinados e importe-os para a nova zona.

    Siga as instruções do seu provedor para exportar dados de zona.

    Você pode incluir DNSKEYs nesta etapa, mas não inclua nenhum outro tipo de registro DNSSEC da zona existente (tipos CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM ou RRSIG).

    Você pode importar zonas usando o comando gcloud dns record-sets import .

  4. Recupere os registros DNSKEY anteriores do servidor de nomes antigo.

    Você também pode usar dig ou delv para consultar registros DNSKEY, mas deve verificar se as chaves públicas retornadas estão corretas e válidas para sua zona.

  5. Recupere os novos registros DNSKEY do Cloud DNS. No modo de Transfer , os registros DNSKEY aparecem como registros normais na zona.

  6. Adicione os registros DNSKEY existentes à zona Cloud DNS, além dos registros DNSKEY gerados automaticamente.

    Você também pode importar DNSKEYs durante a etapa 3 e pular esta etapa se o seu provedor exportar DNSKEYs junto com o restante dos dados da zona.

  7. Adicione os novos registros DNSKEY do Cloud DNS à zona no operador existente. Certifique-se de assinar novamente a zona, se necessário.

  8. Adicione o registro DS para a zona do Cloud DNS ao seu registrador, além do registro DS existente.

  9. Aguarde até que os novos registros sejam propagados e os antigos expirem em todos os caches do resolvedor. Caso contrário, dados obsoletos podem causar falhas de validação.

    Aguarde até que tudo isso aconteça:

    • Os registros são propagados para todos os servidores de nomes usados ​​pelo antigo operador.

    • O TTL do conjunto de registros NS da zona pai expira.

    • O TTL do conjunto de registros DS da zona pai expira.

    • O conjunto de registros NS da zona filha TTL no operador antigo expira.

    • O conjunto de registros DNSKEY da zona filha TTL no operador antigo expira.

  10. Verifique se a zona está pronta, verificando se o operador antigo está atendendo a todos os registros DNSKEY e se a zona pai está atendendo a ambos os registros DS.

  11. Altere as delegações do servidor de nomes para apontar para o Cloud DNS.

    Atualize os registros do servidor de nomes no registrador para os servidores de nomes do Cloud DNS para a nova zona.

  12. Aguarde até que os novos registros do servidor de nomes sejam propagados e os registros de delegação antigos expirem em todos os caches do resolvedor. Caso contrário, dados obsoletos podem causar falhas de validação.

    Aguarde até que tudo isso aconteça:

    • O TTL do conjunto de registros NS da zona pai expira.

    • O conjunto de registros NS da zona filha TTL no operador antigo expira.

    Após esta etapa, você pode parar de atender a zona na operadora antiga com segurança.

  13. Remova os registros DNSKEY da zona antiga adicionados à zona Cloud DNS.

  14. Altere o estado DNSSEC da zona de Transfer para On .

    Sair do estado de transferência permite a rotação automática de chaves para a zona. Suas zonas podem sair do estado de transferência DNSSEC com segurança após uma semana e não devem permanecer nesse estado por mais de um ou dois meses.

  15. Remova o registro DS da zona da operadora antiga do seu registrador.

Migrar zonas assinadas por DNSSEC do Cloud DNS

Antes de iniciar a migração, revise todas as instruções . Você também deve verificar se o seu provedor oferece suporte à migração . Caso contrário, você não poderá migrar a zona usando este processo.

Para realizar a migração, siga estas etapas:

  1. Altere o estado do DNSSEC de On para Transfer . Esta etapa interrompe a rotação de chaves.

  2. Exporte seu arquivo de zona e importe-o para o novo operador.

    Você pode usar gcloud dns record-sets export para exportar uma zona.

    Exportar uma zona no modo de Transfer também exporta registros DNSKEY do Cloud DNS. Se o seu provedor aceitar DNSKEY nesta etapa, você pode incluí-los agora e pular as etapas abaixo que transferem chaves públicas do Cloud DNS para o novo provedor.

  3. Assine a zona no novo provedor.

    Você deve usar os mesmos algoritmos usados ​​pelo Cloud DNS no novo provedor.

    Você deve interromper a rotação de chaves para a zona no novo servidor de nomes até que a migração seja concluída.

  4. Recupere os registros DNSKEY do Cloud DNS. No modo de Transfer , os registros DNSKEY aparecem como registros normais na zona.

    Você também pode usar dig ou delv para consultar os servidores de nomes do Cloud DNS em busca de registros DNSKEY, mas deve verificar se as chaves públicas retornadas estão corretas e são válidas para sua zona.

  5. Recupere os novos registros DNSKEY do novo operador.

    Talvez seja necessário primeiro assinar a zona ou configurar o DNSSEC para obter as chaves.

  6. Adicione os registros DNSKEY do Cloud DNS à nova zona do operador, além dos registros DNSKEY da nova zona.

  7. Adicione os registros DNSKEY do novo operador ao Cloud DNS.

  8. Adicione o registro DS da zona da nova operadora ao seu registrador, além do registro DS existente do Cloud DNS.

  9. Aguarde até que os novos registros sejam propagados e os antigos expirem em todos os caches do resolvedor. Caso contrário, dados obsoletos podem causar falhas de validação.

    Aguarde até que tudo isso aconteça:

    • O TTL do conjunto de registros NS da zona pai expira.

    • O TTL do conjunto de registros DS da zona pai expira.

    • O TTL do conjunto de registros NS da zona do Cloud DNS expira.

    • O TTL do conjunto de registros DNSKEY da zona do Cloud DNS expira.

    Você pode verificar se a zona está pronta verificando se o Cloud DNS está atendendo a todos os registros DNSKEY e se a zona pai está atendendo a ambos os registros DS.

  10. Migre as delegações do servidor de nomes para apontar para o novo operador.

    Atualize os registros do servidor de nomes no registrador para os servidores de nomes do novo operador para a zona.

  11. Aguarde até que os novos registros do servidor de nomes sejam propagados e os registros de delegação antigos expirem em todos os caches do resolvedor. Caso contrário, dados obsoletos podem causar falhas de validação.

    Aguarde até que todos os seguintes itens expirem:

    • O conjunto de registros NS da zona pai TTL.

    • O conjunto de registros NS da zona DNS do Cloud TTL.

    Após essa etapa, você pode excluir a zona do Cloud DNS com segurança.

  12. Remova os registros DNSKEY do Cloud DNS adicionados à nova zona.

  13. Remova o registro DS do Cloud DNS do seu registrador.

  14. Conclua a migração na nova operadora conforme necessário.

Se o outro operador de DNS tiver um processo para migrar uma zona assinada por DNSSEC, você deverá executar as etapas dele em paralelo com este procedimento, após a etapa 1.

O que vem a seguir