Gestisci la configurazione DNSSEC

Questa pagina descrive come abilitare e disabilitare Domain Name System Security Extensions (DNSSEC) e come verificare il deployment di DNSSEC.

Per una panoramica concettuale di DNSSEC, consulta la pagina della panoramica di DNSSEC.

Abilita DNSSEC per le zone pubbliche gestite esistenti

Per abilitare DNSSEC per le zone pubbliche gestite esistenti:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

Abilita DNSSEC durante la creazione delle zone

Per abilitare DNSSEC durante la creazione di una zona:

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Verifica il deployment di DNSSEC

Per verificare il corretto deployment della zona con DNSSEC abilitato, assicurati di aver inserito il record DS corretto nella zona principale. La risoluzione DNSSEC può non riuscire se si verifica una delle seguenti condizioni:

• La configurazione è errata o hai commesso un errore di battitura.
• Hai inserito il record DS errato nella zona principale.

Per verificare di aver configurato correttamente il record DS prima di inserirlo nella zona principale, utilizza i seguenti strumenti:

• DNSViz
• Verisign DNSSEC debugger
• Zonemaster

Puoi utilizzare i siti Verisign DNSSEC debugger e Zonemaster per convalidare la configurazione DNSSEC prima di aggiornare il registrar con i server dei nomi o il record DS di Cloud DNS. Un dominio configurato correttamente per DNSSEC è example.com, visualizzabile utilizzando DNSViz.

Impostazioni TTL consigliate per le zone con firma DNSSEC

TTL è la durata (in secondi) per una zona con firma DNSSEC.

A differenza delle scadenze TTL, che sono relative al momento in cui un server dei nomi invia una risposta a una query, le firme DNSSEC scadono a un orario assoluto fisso. Se configuri TTL con un valore superiore alla durata di una firma, è possibile che molti client richiedano record simultaneamente alla scadenza della firma DNSSEC. Valori di TTL bassi possono anche causare problemi per i resolver di convalida DNSSEC.

Per ulteriori consigli sulla selezione del TTL, consulta la RFC 6781, sezione 4.4.1 Time Considerations e la RFC 6781, figura 11.

Quando leggi la sezione 4.4.1 della RFC 6781, tieni presente che molti parametri di tempo della firma sono fissati da Cloud DNS e non puoi modificarli. Non puoi modificare i seguenti parametri (soggetti a modifiche senza preavviso o aggiornamento di questo documento):

• Offset di creazione = 1 giorno
• Periodo di validità = 21 giorni
• Periodo di riapplicazione della firma = 3 giorni
• Periodo di aggiornamento = 18 giorni
• Intervallo di jitter = ½ giorno (o ±6 ore)
• Validità minima della firma = aggiornamento - jitter = 17,75 giorni = 1533600

Non utilizzare mai un TTL superiore alla validità minima della firma.

Disabilita DNSSEC per le zone gestite

Dopo aver rimosso i record DS e atteso la scadenza della memorizzazione nella cache, puoi utilizzare il seguente comando gcloud per disabilitare DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Sostituisci EXAMPLE_ZONE con l'ID zona.

Passaggi successivi

• Per informazioni su configurazioni DNSSEC specifiche, consulta Utilizza DNSSEC avanzate.
• Per lavorare con le zone gestite, consulta Crea, modifica ed elimina zone.
• Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la pagina Risoluzione dei problemi.
• Per una panoramica di Cloud DNS, consulta la pagina Panoramica di Cloud DNS.