Panoramica delle estensioni di sicurezza DNS (DNSSEC)

Le estensioni DNSSEC (Domain Name System Security Extensions) sono una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche dei nomi di dominio. Non fornisce protezioni della privacy per queste ricerche, ma impedisce ai malintenzionati di manipolare o compromettere le risposte alle richieste DNS.

Per proteggere i domini da attacchi di spoofing e poisoning, abilita e configura DNSSEC nei seguenti punti:

1. La zona DNS. Se abiliti DNSSEC per una zona, Cloud DNS gestisce automaticamente la creazione e la rotazione delle chiavi DNSSEC (record DNSKEY) e la firma dei dati della zona con record di firma digitale del record di risorse (RRSIG).

2. Il registry del dominio di primo livello (TLD) (ad esempio, per example.com, è .com). Nel registry del TLD, devi avere un record DS che autentichi un record DNSKEY nella tua zona. Per farlo, attiva DNSSEC presso il registrar del tuo dominio.

3. Il resolver DNS. Per una protezione DNSSEC completa, devi utilizzare un resolver DNS che convalidi le firme per i domini firmati con DNSSEC. Puoi abilitare la convalida per i singoli sistemi o per i resolver di memorizzazione nella cache locali se amministri i servizi DNS della tua rete.

   Per saperne di più sulla convalida DNSSEC, consulta le seguenti risorse:

   • Do you have DNSSEC validation enabled?
   • Deploying DNSSEC with BIND and Ubuntu Server (Part 1)
   • DNSSEC Guide: Chapter 3. Validation
   • DNSSEC

   Puoi anche configurare i sistemi in modo che utilizzino resolver pubblici che convalidano DNSSEC, in particolare Google Public DNS e Verisign Public DNS.

Il secondo punto limita i nomi di dominio in cui DNSSEC può funzionare. Sia il registrar sia il registry devono supportare DNSSEC per il TLD che stai utilizzando. Se non riesci ad aggiungere un record DS tramite il registrar di domini per attivare DNSSEC, l'abilitazione di DNSSEC in Cloud DNS non ha alcun effetto.

Prima di abilitare DNSSEC, consulta le seguenti risorse:

• La documentazione DNSSEC sia per il registrar di dominio sia per il registry dei TLD
• Le istruzioni specifiche per il registrar dei domini del tutorial della communityGoogle Cloud
• L'elenco ICANN del supporto DNSSEC del registrar di domini per confermare il supporto DNSSEC per il tuo dominio.

Se il registry dei TLD supporta DNSSEC, ma il tuo registrar no (o non lo supporta per quel TLD), potresti essere in grado di trasferire i tuoi domini a un altro registrar che lo supporta. Una volta completata la procedura, puoi attivare DNSSEC per il dominio.

Operazioni di gestione

Per istruzioni passo passo sulla gestione di DNSSEC, consulta le seguenti risorse:

• Per modificare lo stato DNSSEC della zona da Transfer a On, consulta Disattivazione dello stato di trasferimento di DNSSEC.

• Per abilitare DNSSEC per i sottodomini delegati, consulta Delega dei sottodomini con firma DNSSEC.

Tipi di set di record ottimizzati da DNSSEC

Per saperne di più sui tipi di set di record e su altri tipi di record, consulta le seguenti risorse:

• Per controllare quali autorità di certificazione (CA) pubbliche possono generare certificati TLS o di altro tipo per il tuo dominio, consulta Record CAA.

• Per abilitare la crittografia opportunistica tramite i tunnel IPsec, consulta Record IPSECKEY.

Tipi di record DNS con zone protette da DNSSEC

Per saperne di più sui tipi di record DNS e su altri tipi di record, consulta la risorsa seguente:

• Per consentire alle applicazioni client SSH di convalidare i server SSH, consulta Record SSHFP.

Migrazione o trasferimento di zone abilitate per DNSSEC

Cloud DNS supporta la migrazione delle zone abilitate per DNSSEC in cui DNSSEC è stato attivato nel registry del dominio senza interrompere la catena di attendibilità. Puoi eseguire la migrazione delle zone verso o da altri operatori DNS che supportano a loro volta la migrazione.

• Per eseguire la migrazione di una zona con firma DNSSEC a Cloud DNS, consulta Esegui la migrazione delle zone con firma DNSSEC a Cloud DNS.

• Per eseguire la migrazione di una zona con firma DNSSEC a un altro operatore DNS, consulta la sezione Esegui la migrazione delle zone con firma DNSSEC da Cloud DNS.

Se il tuo dominio esistente è ospitato dal registrar, ti consigliamo di eseguire la migrazione dei server dei nomi a Cloud DNS prima di trasferirli a un altro registrar.

Passaggi successivi

• Per visualizzare i record delle chiavi DNSSEC, consulta Visualizza le chiavi DNSSEC.
• Per lavorare con le zone gestite, vedi Crea, modifica ed elimina zone.
• Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la pagina Risoluzione dei problemi.
• Per una panoramica di Cloud DNS, consulta la pagina Panoramica di Cloud DNS.