O Sistema de Nomes de Domínio (DNS) traduz nomes de domínios em formato legível por utilizadores, como google.com, para o endereço IP legível por computadores de um Website, como 172.217.3.206. Para evitar ameaças ao seu domínio, como ataques de envenenamento da cache e spoofing de DNS, configure Extensões de Segurança do DNS (DNSSEC).
Ative as DNSSEC para o domínio
Importante:
- Alguns domínios de nível superior (TLDs) aceitam registos de chave pública DNS (DNSKEY) em vez de registos Delegation Signer (DS).
- Se comprou originalmente o nome do domínio no Google Domains, as DNSSEC podem já estar configuradas.
- Se o domínio tiver um registo ALIAS, não pode ativar as DNSSEC. Saiba mais sobre os registos ALIAS.
A fim de configurar as DNSSEC para o domínio, tem de adicionar registos de recursos específicos ao DNS ou à zona de assinatura e publicá-los para o domínio. Se usar a configuração automática das DNSSEC do Google Domains, processamos ambos os passos por si. As alterações podem demorar até 24 horas a serem atualizadas na Internet antes de as DNSSEC serem ativadas.
- Inicie sessão no Google Domains.
- Selecione o domínio.
- Na parte superior esquerda, selecione Menu DNS.
- Selecione Servidores de nomes predefinidos ou Servidores de nomes personalizados.
- Desloque a página até ao cartão ou à caixa "DNSSEC".
- Para servidores de nomes predefinidos: clique em Ativar. Se as DNSSEC já estiverem ativadas, é apresentada a mensagem "DNSSEC ativadas".
- Para servidores de nomes personalizados: clique em Gerir registos DS e introduza as informações do fornecedor DNS.
- Introduza os valores fornecidos pelo seu fornecedor DNS de terceiros para as DNSSEC ou a DNSKEY do servidor de nomes personalizado.
- Para adicionar vários registos em simultâneo, clique em Criar novo registo.
- Clique em Guardar.
Sugestões:
- Se optar por não aguardar pela publicação dos registos DNSKEY, em "DNSSEC", expanda o cartão DNSSEC e clique em Publicar registos agora.
- Ao ativar as DNSSEC, o Google Domains assina automaticamente a zona DNS e publica os registos Delegation Signer (DS) no espaço de duas horas.
Se usar servidores de nomes personalizados, tem de colaborar com o fornecedor DNS de terceiros para assinar a zona DNS do domínio. Obtenha os seguintes valores junto do fornecedor DNS para cada DNSKEY:
- Etiqueta de chave: valor numérico referente a um registo de DNSKEY existente.
- Algoritmo: o algoritmo de encriptação que cria a chave de segurança no registo de DNSKEY. Normalmente, é emparelhado com uma função de hash, como RSA/SHA1.
- Tipo de resumo: o algoritmo que cria o resumo de um registo DNSKEY. Também é denominado "algoritmo de resumo", "hash de resumo" ou "função de hash de resumo".
- Resumo: o valor hash do registo DNSKEY que o identifica exclusivamente e não expõe o valor da chave. Com base no tipo de resumo, o comprimento pode ser um dos seguintes:
- SHA1: 40 dígitos hexadecimais
- SHA256: 64 dígitos hexadecimais
- SHA384: 96 dígitos hexadecimais
Se usar servidores de nomes personalizados, contacte o fornecedor DNS de terceiros para iniciar sessão nas zonas DNS do domínio. Obtenha os seguintes valores junto do fornecedor DNS para cada DNSKEY:
- Sinalizadores: informações que permitem ao DNS e aos resolvedores de DNS saber de que forma interpretar o registo DNSKEY. Por predefinição, este valor está definido como 256 ou 257.
- Protocolo: indica a versão das DNSSEC usadas. Este valor está sempre definido como 3.
- Algoritmo: indica o tipo de algoritmo criptográfico usado para o par de chaves pública/privada.
- Chave pública: chave que os resolvedores de DNS usam para validar os Registos de DNS que não foram adulterados.
Desative as DNSSEC para o domínio
- Inicie sessão no Google Domains.
- Selecione o domínio.
- Selecione Menu DNS.
- Desloque a página até ao cartão ou à caixa "DNSSEC".
- Para servidores de nomes predefinidos: selecione Desativar.
- Para servidores de nomes personalizados: junto a cada registo, clique em Eliminar .
- Selecione Guardar.
Sugestões:
- Nos servidores de nomes personalizados, para remover os registos de recursos relacionados com as DNSSEC da zona, pode colaborar com o fornecedor DNS.
- Ao desativar as DNSSEC, o Google Domains anula imediatamente a publicação dos registos DS do domínio. Depois de a alteração ser atualizada na Internet, o domínio deixa de estar protegido pelas DNSSEC. Este processo pode demorar até 48 horas. Para concluir a desativação das DNSSEC, o Google Domains pode anular a assinatura da zona DNS.
Use o DNS dinâmico
Importante: o DNS dinâmico funciona com endereços IPv4 e IPv6, mas não ambos em simultâneo.
O DNS dinâmico permite-lhe direcionar o domínio ou um subdomínio para um recurso que se encontre atrás de um gateway e tenha um endereço IP atribuído dinamicamente. Para usar o DNS dinâmico, tem de usar os servidores de nomes predefinidos do Google Domains.
Se configurar o DNS dinâmico com o Google Domains, pode:
- Criar um registo A ou AAAA para o seu domínio ou subdomínio, que faz com que os servidores de nomes da Google esperem um IP dinâmico.
- Gerar um nome de utilizador e uma palavra-passe que o anfitrião ou o servidor possa usar para comunicar o novo endereço IP aos servidores de nomes da Google.
Depois de configurar o DNS dinâmico, tem de configurar um programa cliente no anfitrião, servidor ou gateway que possa fazer o seguinte:
- Detetar alterações de endereços IP
- Usar o nome de utilizador e a palavra-passe gerados
- Comunicar o novo endereço aos servidores de nomes da Google
Configure o DNS dinâmico
- No computador, inicie sessão no Google Domains.
- Selecione o domínio.
- Clique em Menu DNS.
- Selecione Servidores de nomes predefinidos do Google Domains (Ativa).
- Se a opção "Servidores de nomes personalizados (Ativa)" estiver selecionada, já tem servidores de nomes personalizados e não pode usar o serviço de DNS dinâmico do Google Domains.
- Clique em Mostrar definições avançadas.
- Clique em Gerir DNS dinâmico Criar novo registo.
- Para atribuir um IP dinâmico, introduza o nome do subdomínio ou domínio raiz.
- Clique em Guardar.
Seguem-se outras opções para gerir o seu DNS dinâmico:
- Para ver os valores do registo: clique no triângulo junto ao registo.
- Para ver o nome de utilizador e a palavra-passe criados para um registo: clique em Ver credenciais.
- Para configurar o gateway ou o software cliente de forma a contactar os servidores de nomes da Google: use o nome de utilizador e a palavra-passe criados para o registo.
- Para eliminar um registo:
- Aceda a "Registos de recursos".
- Clique no triângulo junto a "DNS dinâmico".
- Selecione Eliminar.
Configure um programa cliente no gateway, anfitrião ou servidor
Existem vários clientes DNS dinâmicos populares em serviço, como DDclient e INADYN. A maioria dos routers consegue detetar alterações de IP e comunicá-las aos servidores de nomes através do respetivo software integrado.
Configure o cliente de DNS dinâmico com o seguinte:
- Fornecedor ou DNS ou Serviço: o nome do fornecedor DNS
- Nome de utilizador ou credencial: o nome de utilizador gerado no Registo de DNS dinâmico
- Palavra-passe ou credencial: a palavra-passe gerada no Registo de DNS dinâmico
Depois de criar o registo e configurar o software cliente, teste o registo. Introduza o subdomínio e o domínio num navegador ou cliente adequado e certifique-se de que estabelecem ligação ao recurso correto.
Sugestão: o Google Domains usa o protocolo dyndns2.
Exemplos
O DDclient inclui agora suporte para o Google Domains.
DDclient com suporte para o Google Domains |
Entradas ddclient.conf:
|
Exemplos de configuração de cliente geral:
DDclient sem suporte para o Google Domains |
INADYN |
Exemplos de entradas ddclient.conf:
|
Adicione o seguinte ao seu inadyn.conf
|
Atualize o Registo de DNS dinâmico com a API
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
Defina um agente do utilizador
Importante: também é necessário definir um agente do utilizador no pedido.
Durante um teste com o URL acima, domains.google.com/nic/update
, os navegadores de Internet adicionam geralmente um agente do utilizador por si. A consulta de HTTP final enviada para os nossos servidores deve ser semelhante a esta:
Exemplo de consulta HTTP:
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
Parâmetros do pedido:
Parâmetro | Obrigatório ou opcional | Descrição |
username:password |
Obrigatório | O nome de utilizador e a palavra-passe gerados associados ao anfitrião a atualizar. |
hostname |
Obrigatório | O nome do anfitrião a atualizar. |
myip |
|
O endereço IP no qual definiu o anfitrião. Se não for fornecido, usamos o IP do agente que enviou o pedido.
Importante: se o agente usar um endereço IPv6, o parâmetro |
offline |
Opcional | Define o anfitrião atual para o estado offline. Se o pedido de atualização for realizado num anfitrião offline, o anfitrião sai do estado offline. Os valores permitidos são:
|
Após o processamento do pedido, é devolvida uma das seguintes respostas.
Importante: certifique-se de que interpreta a resposta corretamente. Caso contrário, corre o risco de bloquear o cliente no nosso sistema.
Resposta | Estado | Descrição |
good {user’s IP address} |
Êxito | A atualização foi efetuada com êxito. Não deve tentar qualquer outra atualização até o endereço IP mudar. |
nochg {user’s IP address} |
Êxito | O endereço IP fornecido já está configurado para este anfitrião. Não deve tentar qualquer outra atualização até o endereço IP mudar. |
nohost |
Erro | O nome do anfitrião não existe ou não tem o DNS dinâmico ativado. |
badauth |
Erro | A combinação de nome de utilizador/palavra-passe não é válida para o anfitrião especificado. |
notfqdn |
Erro | O nome do anfitrião fornecido não é um nome de domínio totalmente qualificado válido. |
badagent |
Erro | O cliente de DNS dinâmico efetua pedidos incorretos. Certifique-se de que o agente do utilizador está definido no pedido. |
abuse |
Erro | O acesso ao DNS dinâmico para o nome do anfitrião foi bloqueado devido à interpretação incorreta das respostas anteriores. |
911 |
Erro | Ocorreu um erro do nosso lado. Aguarde 5 minutos e tente novamente. |
conflict A |
Erro | Um registo de recurso A ou AAAA personalizado está em conflito com a atualização. Elimine o registo de recurso indicado na página de definições de DNS e tente atualizar novamente. |