Attiva DNSSEC

Questa pagina descrive come attivare e disattivare le estensioni DNSSEC (Domain Name System Security Extensions) presso il registrar del dominio.

Per saperne di più su DNSSEC, consulta Panoramica di DNSSEC.

Attiva DNSSEC presso il registrar del dominio

Dopo aver abilitato DNSSEC per le zone pubbliche gestite esistenti, devi attivare DNSSEC presso il registrar del dominio. Per attivare DNSSEC, crea un record DS per il tuo dominio nella zona principale, in modo che i resolver possano identificare che il tuo dominio dispone dell'abilitazione per DNSSEC e possano convalidarne i dati.

Ogni registrar ha una procedura diversa per creare questo record DS. Molti registrar utilizzano un modulo sul sito web. Per saperne di più, consulta la documentazione del tuo registrar.

Dopo aver attivato DNSSEC, il record DS deve propagarsi in tutto il DNS. Questo processo può richiedere 24 ore o più, a seconda dei valori della durata (TTL) impostati per i record DNS e del comportamento di memorizzazione nella cache dei diversi resolver DNS.

Prima di attivare DNSSEC su domini importanti, testa a fondo la configurazione DNS.

Recupera i record DS

Per ottenere i record DS per la tua zona, segui questi passaggi:

Console

Nella console Google Cloud , vai alla pagina Crea una zona DNS.

Vai a Crea una zona DNS
Fai clic sulla zona per cui vuoi i record DS.
Fai clic su Configurazione del registrar.
Copia i record DS dalla finestra di dialogo. I record DS sono simili ai seguenti:
```
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
```

gcloud

Utilizza il comando gcloud dns dns-keys list.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

Sostituisci quanto segue:

MANAGED_ZONE: il nome della zona gestita

L'output è simile al seguente:

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

Disattiva DNSSEC presso il registrar del dominio

Prima di disabilitare DNSSEC per una zona gestita che vuoi ancora utilizzare, devi disattivare DNSSEC per la zona presso il registrar del dominio, per assicurarti che i resolver di convalida DNSSEC possano comunque risolvere i nomi nella zona.

Per disattivare DNSSEC, rimuovi tutti i record DS per il tuo dominio dalla zona principale. In questo modo, i resolver non potranno utilizzare DNSSEC per convalidare i dati del tuo dominio.

Dopo aver rimosso i record DS dal registrar, devi attendere che la rimozione del record DS venga propagata a tutti i resolver prima di poter disattivare DNSSEC per la zona. Questa procedura potrebbe richiedere 24 ore o più, a seconda della latenza di propagazione sostenuta dalla memorizzazione nella cache del registrar, del registry e del resolver.

Dopo aver confermato che il record DS è stato rimosso dal registrar e non è più accessibile ai resolver, puoi disattivare DNSSEC per la zona in tutta sicurezza.

Passaggi successivi

Per informazioni su configurazioni DNSSEC specifiche, consulta Utilizza DNSSEC avanzate.
Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la pagina Risoluzione dei problemi.
Per una panoramica di Cloud DNS, consulta la pagina Panoramica di Cloud DNS.

Attiva DNSSEC Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.