Gerenciar configura��o de DNSSEC

Esta p�gina descreve como ativar e desativar as Extens�es de Seguran�a do Sistema de Nomes de Dom�nio (DNSSEC, na sigla em ingl�s) e como verificar a implanta��o delas.

Consulte a vis�o geral das DNSSEC para ter uma vis�o geral conceitual das DNSSEC.

Como ativar DNSSEC para zonas gerenciadas atuais

Para ativar a DNSSEC para zonas p�blicas gerenciadas atuais, siga estas etapas.

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

Ativar DNSSEC ao criar zonas

Para ativar o DNSSEC ao criar uma zona, siga estas etapas.

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Verificar a implanta��o de DNSSEC

Para verificar a implanta��o correta da sua zona habilitada para DNSSEC, verifique se voc� colocou o registro correto do DS na zona pai. A resolu��o DNSSEC poder� falhar se ocorrer uma das seguintes situa��es:

• A configura��o est� errada ou voc� digitou incorretamente.
• Voc� colocou o registro incorreto do DS na zona pai.

Para verificar se voc� tem a configura��o correta no local e para verificar o registro do DS antes de coloc�-lo na zona pai, use as seguintes ferramentas:

• DNSViz (em ingl�s)
• Depurador DNSSEC da Verisign
• Zonemaster (em ingl�s)

� poss�vel usar o depurador DNSSEC da Verisign e os sites do Zonemaster para validar a configura��o do DNSSEC antes de atualizar o registrador com os servidores de nome do Cloud DNS ou o registro DS. Um dom�nio configurado corretamente para DNSSEC � example.com, que pode ser visualizado usando o DNSViz.

Configura��es de TTL recomendadas para zonas assinadas com DNSSEC

TTL � a vida �til (em segundos) de uma zona assinada pela DNSSEC.

Ao contr�rio das expira��es TTL, que est�o relacionadas ao hor�rio em que um servidor de nomes envia uma resposta a uma consulta, as assinaturas de DNSSEC expiram em um hor�rio fixo e absoluto. TTLs configuradas com mais tempo do que a vida �til da assinatura podem resultar em muitos clientes solicitando registros ao mesmo tempo quando a assinatura DNSSEC expira. Os TTLs muito curtos tamb�m podem causar problemas para os resolvedores de valida��o da DNSSEC.

Para mais recomenda��es sobre a sele��o de TTL, consulte a Considera��es de tempo da RFC 6781 se��o 4.4.1 e a Figura 11 do RFC 6781.

Ao ler a seção 4.4.1 do RFC 6781, considere que muitos parâmetros de tempo de assinatura são fixados pelo Cloud DNS, e não é possível alterá-los. Não é possível alterar os seguintes parâmetros (sujeitos a alterações sem aviso prévio ou atualização a este documento):

• deslocamento de início = 1 dia
• período de validade = 21 dias
• período de reinscrição = 3 dias
• período de atualização: 18 dias
• intervalo de instabilidade = ½ dia (ou ± 6 horas)
• validade mínima da assinatura = atualização – instabilidade = 17,75 dias = 1533600

Não é recomendado usar uma TTL com duração maior do que a validade mínima da assinatura.

Desativar DNSSEC para zonas gerenciadas

Depois de remover os registros DS e esperar até que eles expirem no cache, use o seguinte comando gcloud para desativar o DNSSEC:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Substitua EXAMPLE_ZONE pelo ID da zona.

A seguir

• Para informações sobre configurações de DNSSEC específicas, consulte Como usar DNSSEC avançadas.
• Para trabalhar com zonas gerenciadas, consulte Criar, modificar e excluir zonas.
• Para achar soluções de problemas comuns que podem ser encontrados ao usar o Cloud DNS, consulte Solução de problemas.
• Para uma visão geral do Cloud DNS, consulte Visão geral do Cloud DNS.