En esta página, se describe cómo activar y desactivar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) en tu registrador de dominios.
Para obtener información sobre DNSSEC, consulta la Descripción general de DNSSEC.
Activa DNSSEC en tu registrador de dominios
Después de habilitar DNSSEC para las zonas públicas administradas existentes, debes activar DNSSEC en tu registrador de dominios. Si deseas activar DNSSEC, crea un registro DS para tu dominio en la zona superior, a fin de que los agentes de resolución sepan que tu dominio está habilitado para DNSSEC y puede validar sus datos.
Cada registrador tiene un procedimiento diferente para crear este registro DS. Muchos registradores usan un formulario de sitio web. Para obtener más información, consulta la documentación de tu registrador.
Después de activar DNSSEC, el registro DS debe propagarse por todo el DNS. Este proceso puede tardar 24 horas o más, según los valores del tiempo de actividad (TTL) que establezcas para tus registros DNS y el comportamiento del almacenamiento en caché de las diferentes resoluciones del DNS.
Antes de activar DNSSEC en dominios importantes, prueba tu configuración de DNS a fondo.
Obtén registros DS
Para obtener registros DS de tu zona, sigue estos pasos:
Consola
En la consola Google Cloud , dirígete a la página Crea una zona del DNS.
Haz clic en la zona cuyos registros DS deseas obtener.
Haz clic en Configuración del registrador.
Copia los registros DS desde el diálogo. Los registros DS son similares a lo siguiente:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Usa el comando gcloud dns dns-keys list.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Reemplaza lo siguiente:
MANAGED_ZONE: el nombre de la zona administrada
El resultado es similar al que se describe a continuación:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Desactiva DNSSEC en tu registrador de dominios
Antes de inhabilitar DNSSEC para una zona administrada que aún deseas usar, debes desactivar DNSSEC para tu zona en el registrador de dominios a fin de garantizar que los agentes de resolución que validan DNSSEC puedan continuar resolviendo nombres en la zona.
Para desactivar DNSSEC, quita todos los registros DS de tu dominio de la zona superior. Esta acción impide que los agentes de resolución usen DNSSEC para validar tus datos de dominio.
Después de quitar los registros DS del registrador, debes esperar a que la eliminación del registro DS se propague a todos los agentes de resolución antes de poder desactivar DNSSEC para la zona. Este proceso puede tardar 24 horas o más, según la latencia de propagación que genere el registrador, el registro y el almacenamiento en caché del agente de resolución.
Después de confirmar que el registro DS se quitó de tu registrador y que los agentes de resolución ya no pueden acceder a él, puedes inhabilitar DNSSEC para la zona de forma segura.
¿Qué sigue?
- Para obtener información sobre parámetros de configuración específicos de DNSSEC, consulta Usa DNSSEC avanzada.
- Para encontrar soluciones a problemas habituales que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
- Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.