El sistema de nombres de dominio (DNS) traduce nombres de dominio legibles para las personas, como google.com, a la dirección IP legible de un sitio web, como 172.217.3.206. Para evitar amenazas a tu dominio, como daños a la caché y falsificación de identidad de DNS, configura extensiones de seguridad de DNS (DNSSEC).
Activa las DNSSEC en tu dominio
Importante:
- Algunos dominios de nivel superior (TLD) aceptan registros de clave pública DNS (DNSKEY) en lugar de registros del firmante de delegación (DS).
- Si compraste originalmente el nombre de dominio en Google Domains, es posible que las DNSSEC ya estén configuradas.
- Si tu dominio tiene un registro ALIAS, no puedes habilitar las DNSSEC. Obtén más información sobre los registros ALIAS.
Si deseas configurar DNSSEC en tu dominio, debes agregar registros de recursos específicos a tu DNS o zona de firma y publicarlos para tu dominio. Si usas la configuración automática de DNSSEC de Google Domains, nosotros nos encargaremos de los dos pasos. Es posible que los cambios tarden hasta 24 horas en actualizarse en Internet antes de que se activen las DNSSEC.
- Acceda a Google Domains.
- Selecciona tu dominio.
- En la parte superior izquierda, seleccione Menú DNS.
- Selecciona Servidores de nombres predeterminados o Servidores de nombres personalizados.
- Desplázate hasta la casilla o tarjeta “DNSSEC”.
- Servidores de nombres predeterminados: Haz clic en Activar. Si las DNSSEC ya están activadas, se muestra “DNSSEC enabled”.
- Servidores de nombres personalizados: Haz clic en Manage DS records y, luego, ingresa la información de tu proveedor de DNS.
- Ingresa los valores que proporcionó tu proveedor de DNS de terceros para DNSSEC o DNSKEY del servidor de nombres personalizado.
- Para agregar varios registros al mismo tiempo, haz clic en Crear registro nuevo.
- Haz clic en Guardar.
Sugerencias:
- Si decides no esperar a que se publiquen tus registros DNSKEY, en “DNSSEC”, expande la tarjeta DNSSEC y haz clic en Publicar registros ahora.
- Cuando actives las DNSSEC, Google Domains firmará automáticamente tu zona de DNS y publicará tus registros del firmante de delegación en un plazo de 2 horas.
Si usas servidores de nombres personalizados, debes trabajar con tu proveedor de DNS externo para firmar la zona del DNS de tu dominio. Para cada DNSKEY, solicita los siguientes valores a tu proveedor de DNS:
- Etiqueta clave: Es un valor numérico que alude a un registro existente de DNSKEY.
- Algoritmo: Es el algoritmo de encriptación que crea la llave de seguridad en el registro DNSKEY. Por lo general, se vincula con una función hash como RSA/SHA1.
- Tipo de resumen: El algoritmo que crea el resumen de un registro DNSKEY. También se conoce como algoritmo de resumen, hash de resumen o función de hash de resumen.
- Resumen: Es un valor de hash del registro DNSKEY que lo identifica de manera inequívoca y sin exponer el valor de la clave. Según el tipo de resumen, la longitud puede ser una de las siguientes:
- SHA1: 40 dígitos hexadecimales
- SHA256: 64 dígitos hexadecimales
- SHA384: 96 dígitos hexadecimales
Si usas servidores de nombres personalizados, comunícate con tu proveedor de DNS externo para acceder a las zonas del DNS de tu dominio. Para cada DNSKEY, solicita los siguientes valores a tu proveedor de DNS:
- Marcas: Información en la que se le indica al DNS y a los agentes de resolución cómo interpretar el registro DNSKEY. De forma predeterminada, este valor se establece en 256 o 257.
- Protocolo: Indica la versión de las DNSSEC que se usó. Este valor siempre se establece en 3.
- Algoritmo: Indica el tipo de algoritmo criptográfico que se usa para el par de claves públicas o privadas.
- Clave pública: Es la clave que usan los agentes de resolución de DNS para validar que no se hayan alterado los registros DNS.
Cómo desactivar las DNSSEC en tu dominio
- Accede a Google Domains.
- Selecciona tu dominio.
- Selecciona Menú DNS.
- Desplázate hasta la casilla o tarjeta “DNSSEC”.
- Para los servidores de nombres predeterminados: Selecciona Desactivar.
- Servidores de nombres personalizados: Junto a cada registro, haz clic en Borrar .
- Selecciona Guardar.
Sugerencias:
- En el caso de los servidores de nombres personalizados, si deseas quitar de tu zona los registros de recursos relacionados con las DNSSEC, puedes trabajar con tu proveedor de DNS.
- Cuando desactivas las DNSSEC, Google Domains anula la publicación de los registros DS de tu dominio de inmediato. Después de que el cambio se actualice en Internet, tu dominio dejará de estar protegido por las DNSSEC. La actualización puede tardar hasta 48 horas. Para completar la desactivación de las DNSSEC, es posible que Google Domains anule la firma de tu zona del DNS.
Usa DNS dinámico
Importante: El DNS dinámico funciona con direcciones IPv4 e IPv6, pero no de manera simultánea.
El DNS dinámico te permite dirigir tu dominio o un subdominio a un recurso que se encuentra detrás de una puerta de enlace y tiene una dirección IP asignada de forma dinámica. Para usar el DNS dinámico, debes utilizar los servidores de nombres predeterminados de Google Domains.
Si configuras el DNS dinámico con Google Domains, podrás hacer lo siguiente:
- Configurar un registro A o AAAA para tu dominio o subdominio que haga que los servidores de nombres de Google sepan que recibirán una IP dinámica.
- Generar un nombre de usuario y una contraseña que el host o servidor puede usar para comunicar la nueva dirección IP a los servidores de nombres de Google.
Después de configurar el DNS dinámico, debes configurar un programa de cliente en tu host, servidor o puerta de enlace que haga lo siguiente:
- Detecte cambios de direcciones IP
- Use el nombre de usuario y la contraseña que se generaron
- Comunique la nueva dirección a los servidores de nombres de Google
Cómo configurar el DNS dinámico
- Accede a Google Domains en una computadora.
- Selecciona tu dominio.
- Haz clic en Menú DNS.
- Selecciona Servidores de nombres predeterminados de Google Domains (activos).
- Si la opción “Servidores de nombres personalizados (activos)” está seleccionada, ya tienes servidores de nombres personalizados y no puedes usar el servicio de DNS dinámico de Google Domains.
- Haz clic en Mostrar la configuración avanzada.
- Haz clic en Administrar DNS dinámico Crear registro nuevo.
- Para asignar una IP dinámica, ingresa el nombre del subdominio o dominio raíz.
- Haz clic en Guardar.
Estas son otras opciones para administrar tu DNS dinámico:
- Para ver los valores de los registros: Junto al registro, haz clic en el triángulo.
- Si deseas ver el nombre de usuario y la contraseña que se crearon para este registro, haz clic en Ver credenciales.
- Para configurar la puerta de enlace o el software cliente a fin de que se comuniquen con los servidores de nombres de Google, utiliza el nombre de usuario y la contraseña que se crearon para el registro.
- Para borrar un registro, haz lo siguiente:
- Ve a “Registros de recursos”.
- Junto a “DNS dinámico”, haz clic en el triángulo.
- Selecciona Borrar.
Configura un programa de cliente en tu puerta de enlace, host o servidor
Hay varios clientes de DNS dinámicos populares en uso, como INADYN y DDclient. La mayoría de los routers pueden detectar los cambios de IP y comunicarlos a los servidores de nombres a través del software integrado.
Configura tu cliente de DNS dinámico con lo siguiente:
- Proveedor, DNS o servicio: el nombre del proveedor de DNS
- Nombre de usuario o credencial: el nombre de usuario generado en el registro DNS dinámico
- Contraseña o credencial: la contraseña generada en el registro DNS dinámico
Después de crear el registro y configurar el software cliente, prueba el registro. Ingresa el subdominio y el dominio en un navegador web (o en un cliente apropiado) y asegúrate de que se conecten al recurso correcto.
Sugerencia: Google Domains usa el protocolo dyndns2.
Ejemplos
DDclient ahora es compatible con Google Domains.
DDclient admite Google Domains |
Entradas de ddclient.conf:
|
Ejemplos de configuración general de cliente:
DDclient sin compatibilidad con Google Domains |
INADYN |
Ejemplo de entradas ddclient.conf:
|
Agregue lo siguiente a su inadyn.conf
|
Actualiza tu registro DNS dinámico con la API
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
Configura un usuario-agente
Importante: También debes configurar un usuario-agente en la solicitud.
Durante una prueba con la URL que aparece directamente arriba, domains.google.com/nic/update
, los navegadores web suelen agregar un usuario-agente por ti. La búsqueda HTTP final que se envíe a nuestros servidores debe ser similar a la siguiente:
Ejemplo de consulta HTTP:
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
Parámetros de la solicitud:
Parámetro | Obligatorio u opcional | Descripción |
username:password |
Obligatorio | El nombre de usuario y la contraseña que se generaron y están asociados con el host que se actualizará. |
hostname |
Obligatorio | El nombre del host que se actualizará. |
myip |
|
La dirección IP en la que se configuró el host. Si no se proporciona, se usará la dirección IP del agente que envió la solicitud.
Importante: Si su agente usa una dirección IPv6, se debe usar |
offline |
Opcional | Configura el host actual en el estado sin conexión. Si se realiza una solicitud de actualización en un host sin conexión, el host se quita del estado sin conexión. Los valores permitidos son los siguientes:
|
Después de procesar la solicitud, se muestra una de las siguientes respuestas.
Importante: Asegúrate de interpretar correctamente la respuesta. De lo contrario, existe el riesgo de que se bloquee tu cliente en nuestro sistema.
Respuesta | Estado | Descripción |
good {dirección IP del usuario} |
Listo | La actualización se realizó correctamente. No debe intentar realizar otra actualización hasta que su dirección IP cambie. |
nochg {dirección IP del usuario} |
Listo | La dirección IP suministrada ya está configurada para este host. No debe intentar realizar otra actualización hasta que su dirección IP cambie. |
nohost |
Error | El nombre de host no existe o no tiene habilitado el DNS dinámico. |
badauth |
Error | La combinación de nombre de usuario y contraseña no es válida para el host especificado. |
notfqdn |
Error | El nombre de host suministrado no es un nombre de dominio válido completamente calificado. |
badagent |
Error | Su cliente de DNS dinámico realiza solicitudes incorrectas. Asegúrese de que el usuario-agente está configurado en la solicitud. |
abuse |
Error | El acceso al DNS dinámico para el nombre de host se bloqueó debido a un error al interpretar las respuestas anteriores. |
911 |
Error | Se produjo un error por nuestra parte. Espera 5 minutos y vuelve a intentarlo. |
conflict A |
Error | Un registro de recursos personalizado A o AAAA genera un conflicto con la actualización. Borre el registro de recursos que se indica en la página de configuración de DNS y vuelva a intentar la actualización. |