Configurar las DNSSEC y la seguridad de DNS

Para cada sitio web, el sistema de nombres de dominio (DNS) se encarga de convertir el nombre de dominio legible por humanos, como google.com, en una dirección IP legible por máquinas, como 172.217.3.206. Para evitar amenazas en tu dominio, como ataques de envenenamiento de la caché o de spoofing del DNS, configura las extensiones de seguridad de DNS (DNSSEC).

Activar DNSSEC en un dominio

Importante:

Algunos dominios de nivel superior (TLDs) admiten DNSKEY en lugar de registros DS.
Si compraste el nombre de dominio en Google Domains, es posible que las DNSSEC ya estén configuradas.
Si tu dominio tiene un registro ALIAS, no puedes habilitar DNSSEC. Más información sobre los registros ALIAS

Para configurar las DNSSEC en tu dominio, debes añadir registros de recursos específicos a tu DNS o tu zona de firma y publicarlos para tu dominio. Si utilizas la configuración automática de DNSSEC de Google Domains, nos encargaremos de los dos pasos anteriores por ti. Los cambios pueden tardar hasta 24 horas en aplicarse en Internet antes de que las DNSSEC estén activas.

Inicia sesión en Google Domains.
Selecciona tu dominio.
En la parte superior izquierda, selecciona Menú DNS.
Selecciona Servidores de nombres predeterminados o Servidores de nombres personalizados.
Desplázate hasta la tarjeta o el cuadro "DNSSEC".
- Servidores de nombres predeterminados: haz clic en Activar. Si las DNSSEC ya están habilitadas, se mostrará "DNSSEC habilitadas".
- Servidores de nombres personalizados: haz clic en Gestionar registros DS e introduce la información de tu proveedor de DNS.
  1. Introduce los valores proporcionados por tu proveedor de DNS externo para las DNSSEC o los registros DNSKEY del servidor de nombres personalizado.
  2. Para añadir varios registros a la vez, haz clic en Crear registro.
  3. Haz clic en Guardar.

Notas:

Si prefieres no esperar a que se publiquen tus registros DNSKEY, despliega la tarjeta DNSSEC de la sección "DNSSEC" y haz clic en Publicar registros.
Cuando habilitas las DNSSEC, Google Domains firma automáticamente tu zona DNS y publica tus registros de delegación de firma (DS) en un plazo de 2 horas.

Valores necesarios para las DNSSEC de los servidores de nombres personalizados

Si usas servidores de nombres personalizados, deberás contactar con tu proveedor de DNS externo para firmar la zona DNS de tu dominio. Por cada registro DNSKEY, tu proveedor de DNS tendrá que facilitarte los siguientes valores:

Etiqueta de clave: un valor numérico que hace referencia a un registro DNSKEY.
Algoritmo: algoritmo de encriptado que crea la llave de seguridad en el registro DNSKEY. Normalmente está vinculado con una función de hash, como en RSA/SHA1.
Tipo de resumen: algoritmo que crea el resumen de un registro DNSKEY. También se conoce como "algoritmo de resumen", "hash de resumen" o "función de hash de resumen".
Resumen: valor de hash del registro DNSKEY que lo identifica de manera exclusiva sin exponer el valor de la llave. Según el tipo de resumen, la longitud puede ser una de las siguientes:
- SHA1: 40 dígitos hexadecimales
- SHA256: 64 dígitos hexadecimales
- SHA384: 96 dígitos hexadecimales

Valores necesarios para DNSKEYs de servidores de nombres personalizados

Si utilizas servidores de nombres personalizados, ponte en contacto con tu proveedor de DNS externo para iniciar sesión en las zonas DNS de tu dominio. Por cada registro DNSKEY, tu proveedor de DNS tendrá que facilitarte los siguientes valores:

Marcas: información que usan el DNS y las resoluciones para determinar cómo se debe interpretar un registro DNSKEY concreto. El valor predeterminado es 256 o 257.
Protocolo: indica la versión de las DNSSEC utilizada. Este valor siempre es 3.
Algoritmo: indica el tipo de algoritmo criptográfico utilizado en el par de claves pública/privada.
Clave pública: clave que usan las resoluciones de DNS para validar los registros DNS que no se han manipulado.

Inhabilitar las DNSSEC en un dominio

Inicia sesión en Google Domains.
Selecciona tu dominio.
Selecciona Menú DNS.
Desplázate hasta la tarjeta o el cuadro "DNSSEC".
- Para servidores de nombres predeterminados: selecciona Desactivar.
- Para servidores de nombres personalizados: junto a cada registro, haz clic en Eliminar .
Selecciona Guardar.

Notas:

En el caso de los servidores de nombres personalizados, si quieres eliminar los registros de recursos relacionados con las DNSSEC de tu zona, puedes ponerte en contacto con tu proveedor de DNS.
Cuando inhabilitas las DNSSEC, Google Domains deja de publicar de inmediato los registros DS de tu dominio. Una vez que se actualicen los cambios en Internet, las DNSSEC dejarán de proteger tu dominio. El proceso puede tardar hasta 48 horas. Para completar la desactivación de las DNSSEC, Google Domains puede anular la firma de tu zona DNS.

Usar DNS dinámico

Importante: El DNS dinámico funciona con direcciones IPv4 e IPv6, pero no al mismo tiempo.

El DNS dinámico te permite dirigir tu dominio o un subdominio a un recurso que se encuentra tras una pasarela y que tiene una dirección IP asignada dinámicamente. Para usar el DNS dinámico, debes utilizar los servidores de nombres predeterminados de Google Domains.

Si configuras el DNS dinámico con Google Domains, puedes hacer lo siguiente:

Crear un registro A o AAAA para tu dominio o subdominio que haga que los servidores de nombres de Google estén preparados para recibir una IP dinámica.
Generar un nombre de usuario y una contraseña que tu host o servidor puedan usar para comunicar la nueva dirección IP a los servidores de nombres de Google.

Después de configurar el DNS dinámico, debes configurar un programa cliente en el host, el servidor o la pasarela que haga lo siguiente:

Detecte los cambios en la dirección IP.
Use el nombre de usuario y la contraseña generados.
Comunique la nueva dirección a los servidores de nombres de Google.

Configurar el DNS dinámico

En un ordenador, inicia sesión en Google Domains.
Selecciona tu dominio.
Haz clic en Menú DNS.
Selecciona Servidores de nombres predeterminados de Google Domains (Activos).

Si has seleccionado "Servidores de nombres personalizados (Activos)", significa que ya tienes servidores de nombres personalizados y no puedes usar el servicio de DNS dinámico de Google Domains.

Haz clic en Mostrar configuración avanzada.
Haz clic en Gestionar DNS dinámico Crear registro.
Para asignar una IP dinámica, introduce el nombre del subdominio o del dominio raíz.
Haz clic en Guardar.

A continuación, te indicamos otras opciones para gestionar el DNS dinámico:

Para ver los valores del registro: haz clic en el triángulo situado junto al registro.
Para ver el nombre de usuario y la contraseña creados para un registro: haz clic en Ver credenciales.
Para configurar la pasarela o el software cliente de forma que contacten con los servidores de nombres de Google: utiliza el nombre de usuario y la contraseña creados para el registro.
Para eliminar un registro, sigue estos pasos:
1. Ve a "Registros de recursos".
2. Junto a "DNS dinámico", haz clic en el triángulo.
3. Selecciona Eliminar.

Configurar un programa cliente en la pasarela, el host o el servidor

Hay varios clientes de DNS dinámico populares, como DDclient e INADYN. La mayoría de los routers pueden detectar cambios de IP y comunicarlos a los servidores de nombres a través de su software integrado.

Configura tu cliente de DNS dinámico con lo siguiente:

Proveedor, DNS o servicio: nombre de tu proveedor de DNS
Nombre de usuario o credencial: nombre de usuario generado en el registro de DNS dinámico
Contraseña o credencial: la contraseña generada en el registro de DNS dinámico

Una vez que hayas creado el registro y configurado el software cliente, haz pruebas con el registro. Introduce el subdominio y el dominio en un navegador o en un cliente adecuado y asegúrate de que se conectan con el recurso correcto.

Nota: Google Domains utiliza el protocolo dyndns2.

Ejemplos

DDclient ya es compatible con Google Domains.

DDclient con compatibilidad para Google Domains

Entradas de ddclient.conf:

ssl=yes

protocol=googledomains

login=generated_username

password=generated_password

your_resource.your_domain.tld

Ejemplos de la configuración general del cliente:

DDclient
sin compatibilidad para Google Domains INADYN

Ejemplos de entradas de ddclient.conf:

protocol=dyndns2

use=web

server=domains.google.com

ssl=yes

login=generated_username

password=generated_password

your_resource.your_domain.tld

Añade lo siguiente a inadyn.conf

system default@domains.google.com

username generated_username

password generated_password

alias sub.domain.tld

Actualizar el registro de DNS dinámico con la API

El software cliente de DNS dinámico actualiza el registro de DNS dinámico de forma automática. Puedes aplicar actualizaciones manualmente con la API haciendo una solicitud POST (o GET) a la siguiente URL:

domains.google.com/nic/update

La API requiere HTTPS. Aquí puedes ver un ejemplo de solicitud:

https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4

Definir un user-agent

Importante: También debes incluir un user-agent en tu solicitud.

Durante una prueba con la URL de arriba, domains.google.com/nic/update, los navegadores web suelen añadir un user-agent de forma automática. La consulta HTTP final que se envíe a nuestros servidores debe ser similar a esta:

Ejemplo de consulta HTTP:

POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1

      Host: domains.google.com

      Authorization: Basic base64-encoded-auth-string

      User-Agent: Chrome/41.0 your_email@yourdomain.com

Parámetros de la solicitud:

Parámetro	Obligatorio u opcional	Descripción
`username:password`	Obligatorio	El nombre de usuario y la contraseña generados y asociados al host que se va a actualizar.
`hostname`	Obligatorio	El nombre del host que se va a actualizar.
`myip`	Opcional para direcciones IPv4 Obligatorio si tienes una dirección IPv6	La dirección IP que se ha definido en el host. Si no se proporciona, se usará la IP del agente que envía la solicitud. Importante: Si tu agente utiliza una dirección IPv6, es obligatorio proporcionar un valor para el parámetro `myip`. Puedes comprobar la dirección IP de tu agente en: https://domains.google.com/checkip.
`offline`	Opcional	Con este parámetro, el estado del host actual pasa a ser offline. Si el host que se quiere actualizar ya está offline, deja de tener ese estado. Los valores permitidos son: `yes` `no`

Después de procesar la solicitud, se devuelve una de las siguientes respuestas.

Importante: Debes interpretar la respuesta correctamente; de lo contrario, podría bloquearse tu cliente en nuestro sistema.

Respuesta	Estado	Descripción
`good {dirección IP del usuario}`	Correcto	La actualización se ha realizado correctamente. No deberías realizar ninguna otra actualización hasta que tu dirección IP cambie.
`nochg {dirección IP del usuario}`	Correcto	La dirección IP que has proporcionado ya se ha configurado para este host. No deberías realizar ninguna otra actualización hasta que tu dirección IP cambie.
`nohost`	Error	El nombre de host no existe o no tiene habilitado el DNS dinámico.
`badauth`	Error	La combinación de nombre de usuario y contraseña no es válida para el host indicado.
`notfqdn`	Error	El nombre de host proporcionado no es un nombre de dominio cualificado válido.
`badagent`	Error	Tu cliente de DNS dinámico realiza solicitudes incorrectas. El agente de usuario debe aparecer en la solicitud.
`abuse`	Error	Se ha bloqueado el acceso al DNS dinámico para el nombre de host debido a un error al interpretar las respuestas anteriores.
`911`	Error	Se ha producido un error por nuestra parte. Espera cinco minutos y vuelve a intentarlo.
`conflict A conflict AAAA`	Error	Un registro de recursos A o AAAA personalizado entra en conflicto con la actualización. Elimina el registro de recursos indicado en la página de configuración de DNS e intenta actualizarlo de nuevo.