Configure a segurança de DNS e DNSSEC

O Sistema de Nomes de Domínio (DNS) traduz nomes de domínios em formato legível por utilizadores, como google.com, para o endereço IP legível por computadores de um Website, como 172.217.3.206. Para evitar ameaças ao seu domínio, como ataques de envenenamento da cache e spoofing de DNS, configure Extensões de Segurança do DNS (DNSSEC).

Ative as DNSSEC para o domínio

Importante:

Alguns domínios de nível superior (TLDs) aceitam registos de chave pública DNS (DNSKEY) em vez de registos Delegation Signer (DS).
Se comprou originalmente o nome do domínio no Google Domains, as DNSSEC podem já estar configuradas.
Se o domínio tiver um registo ALIAS, não pode ativar as DNSSEC. Saiba mais sobre os registos ALIAS.

A fim de configurar as DNSSEC para o domínio, tem de adicionar registos de recursos específicos ao DNS ou à zona de assinatura e publicá-los para o domínio. Se usar a configuração automática das DNSSEC do Google Domains, processamos ambos os passos por si. As alterações podem demorar até 24 horas a serem atualizadas na Internet antes de as DNSSEC serem ativadas.

Inicie sessão no Google Domains.
Selecione o domínio.
Na parte superior esquerda, selecione Menu DNS.
Selecione Servidores de nomes predefinidos ou Servidores de nomes personalizados.
Desloque a página até ao cartão ou à caixa "DNSSEC".
- Para servidores de nomes predefinidos: clique em Ativar. Se as DNSSEC já estiverem ativadas, é apresentada a mensagem "DNSSEC ativadas".
- Para servidores de nomes personalizados: clique em Gerir registos DS e introduza as informações do fornecedor DNS.
  1. Introduza os valores fornecidos pelo seu fornecedor DNS de terceiros para as DNSSEC ou a DNSKEY do servidor de nomes personalizado.
  2. Para adicionar vários registos em simultâneo, clique em Criar novo registo.
  3. Clique em Guardar.

Sugestões:

Se optar por não aguardar pela publicação dos registos DNSKEY, em "DNSSEC", expanda o cartão DNSSEC e clique em Publicar registos agora.
Ao ativar as DNSSEC, o Google Domains assina automaticamente a zona DNS e publica os registos Delegation Signer (DS) no espaço de duas horas.

Valores necessários para DNSSEC do servidor de nomes personalizado

Se usar servidores de nomes personalizados, tem de colaborar com o fornecedor DNS de terceiros para assinar a zona DNS do domínio. Obtenha os seguintes valores junto do fornecedor DNS para cada DNSKEY:

Etiqueta de chave: valor numérico referente a um registo de DNSKEY existente.
Algoritmo: o algoritmo de encriptação que cria a chave de segurança no registo de DNSKEY. Normalmente, é emparelhado com uma função de hash, como RSA/SHA1.
Tipo de resumo: o algoritmo que cria o resumo de um registo DNSKEY. Também é denominado "algoritmo de resumo", "hash de resumo" ou "função de hash de resumo".
Resumo: o valor hash do registo DNSKEY que o identifica exclusivamente e não expõe o valor da chave. Com base no tipo de resumo, o comprimento pode ser um dos seguintes:
- SHA1: 40 dígitos hexadecimais
- SHA256: 64 dígitos hexadecimais
- SHA384: 96 dígitos hexadecimais

Valores necessários para DNSKEYs do servidor de nomes personalizado

Se usar servidores de nomes personalizados, contacte o fornecedor DNS de terceiros para iniciar sessão nas zonas DNS do domínio. Obtenha os seguintes valores junto do fornecedor DNS para cada DNSKEY:

Sinalizadores: informações que permitem ao DNS e aos resolvedores de DNS saber de que forma interpretar o registo DNSKEY. Por predefinição, este valor está definido como 256 ou 257.
Protocolo: indica a versão das DNSSEC usadas. Este valor está sempre definido como 3.
Algoritmo: indica o tipo de algoritmo criptográfico usado para o par de chaves pública/privada.
Chave pública: chave que os resolvedores de DNS usam para validar os Registos de DNS que não foram adulterados.

Desative as DNSSEC para o domínio

Inicie sessão no Google Domains.
Selecione o domínio.
Selecione Menu DNS.
Desloque a página até ao cartão ou à caixa "DNSSEC".
- Para servidores de nomes predefinidos: selecione Desativar.
- Para servidores de nomes personalizados: junto a cada registo, clique em Eliminar .
Selecione Guardar.

Sugestões:

Nos servidores de nomes personalizados, para remover os registos de recursos relacionados com as DNSSEC da zona, pode colaborar com o fornecedor DNS.
Ao desativar as DNSSEC, o Google Domains anula imediatamente a publicação dos registos DS do domínio. Depois de a alteração ser atualizada na Internet, o domínio deixa de estar protegido pelas DNSSEC. Este processo pode demorar até 48 horas. Para concluir a desativação das DNSSEC, o Google Domains pode anular a assinatura da zona DNS.

Use o DNS dinâmico

Importante: o DNS dinâmico funciona com endereços IPv4 e IPv6, mas não ambos em simultâneo.

O DNS dinâmico permite-lhe direcionar o domínio ou um subdomínio para um recurso que se encontre atrás de um gateway e tenha um endereço IP atribuído dinamicamente. Para usar o DNS dinâmico, tem de usar os servidores de nomes predefinidos do Google Domains.

Se configurar o DNS dinâmico com o Google Domains, pode:

Criar um registo A ou AAAA para o seu domínio ou subdomínio, que faz com que os servidores de nomes da Google esperem um IP dinâmico.
Gerar um nome de utilizador e uma palavra-passe que o anfitrião ou o servidor possa usar para comunicar o novo endereço IP aos servidores de nomes da Google.

Depois de configurar o DNS dinâmico, tem de configurar um programa cliente no anfitrião, servidor ou gateway que possa fazer o seguinte:

Detetar alterações de endereços IP
Usar o nome de utilizador e a palavra-passe gerados
Comunicar o novo endereço aos servidores de nomes da Google

Configure o DNS dinâmico

No computador, inicie sessão no Google Domains.
Selecione o domínio.
Clique em Menu DNS.
Selecione Servidores de nomes predefinidos do Google Domains (Ativa).

Se a opção "Servidores de nomes personalizados (Ativa)" estiver selecionada, já tem servidores de nomes personalizados e não pode usar o serviço de DNS dinâmico do Google Domains.

Clique em Mostrar definições avançadas.
Clique em Gerir DNS dinâmico Criar novo registo.
Para atribuir um IP dinâmico, introduza o nome do subdomínio ou domínio raiz.
Clique em Guardar.

Seguem-se outras opções para gerir o seu DNS dinâmico:

Para ver os valores do registo: clique no triângulo junto ao registo.
Para ver o nome de utilizador e a palavra-passe criados para um registo: clique em Ver credenciais.
Para configurar o gateway ou o software cliente de forma a contactar os servidores de nomes da Google: use o nome de utilizador e a palavra-passe criados para o registo.
Para eliminar um registo:
1. Aceda a "Registos de recursos".
2. Clique no triângulo junto a "DNS dinâmico".
3. Selecione Eliminar.

Configure um programa cliente no gateway, anfitrião ou servidor

Existem vários clientes DNS dinâmicos populares em serviço, como DDclient e INADYN. A maioria dos routers consegue detetar alterações de IP e comunicá-las aos servidores de nomes através do respetivo software integrado.

Configure o cliente de DNS dinâmico com o seguinte:

Fornecedor ou DNS ou Serviço: o nome do fornecedor DNS
Nome de utilizador ou credencial: o nome de utilizador gerado no Registo de DNS dinâmico
Palavra-passe ou credencial: a palavra-passe gerada no Registo de DNS dinâmico

Depois de criar o registo e configurar o software cliente, teste o registo. Introduza o subdomínio e o domínio num navegador ou cliente adequado e certifique-se de que estabelecem ligação ao recurso correto.

Sugestão: o Google Domains usa o protocolo dyndns2.

Exemplos

O DDclient inclui agora suporte para o Google Domains.

DDclient com suporte para o Google Domains

Entradas ddclient.conf:

ssl=yes

protocol=googledomains

login=generated_username

password=generated_password

your_resource.your_domain.tld

Exemplos de configuração de cliente geral:

DDclient
sem suporte para o Google Domains INADYN

Exemplos de entradas ddclient.conf:

protocol=dyndns2

use=web

server=domains.google.com

ssl=yes

login=generated_username

password=generated_password

your_resource.your_domain.tld

Adicione o seguinte ao seu inadyn.conf

system default@domains.google.com

username generated_username

password generated_password

alias sub.domain.tld

Atualize o Registo de DNS dinâmico com a API

O software cliente de DNS dinâmico atualiza automaticamente o Registo de DNS dinâmico. Pode realizar atualizações manuais com a API ao fazer um pedido POST ou GET para o seguinte URL:

domains.google.com/nic/update

A API requer HTTPS. Eis um exemplo de pedido:

https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4

Defina um agente do utilizador

Importante: também é necessário definir um agente do utilizador no pedido.

Durante um teste com o URL acima, domains.google.com/nic/update, os navegadores de Internet adicionam geralmente um agente do utilizador por si. A consulta de HTTP final enviada para os nossos servidores deve ser semelhante a esta:

Exemplo de consulta HTTP:

POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1

      Host: domains.google.com

      Authorization: Basic base64-encoded-auth-string

      User-Agent: Chrome/41.0 your_email@yourdomain.com

Parâmetros do pedido:

Parâmetro	Obrigatório ou opcional	Descrição
`username:password`	Obrigatório	O nome de utilizador e a palavra-passe gerados associados ao anfitrião a atualizar.
`hostname`	Obrigatório	O nome do anfitrião a atualizar.
`myip`	Opcional para IPv4. Obrigatório se tiver um endereço IPv6.	O endereço IP no qual definiu o anfitrião. Se não for fornecido, usamos o IP do agente que enviou o pedido. Importante: se o agente usar um endereço IPv6, o parâmetro `myip` é obrigatório. Pode verificar o endereço IP do agente em: https://domains.google.com/checkip.
`offline`	Opcional	Define o anfitrião atual para o estado offline. Se o pedido de atualização for realizado num anfitrião offline, o anfitrião sai do estado offline. Os valores permitidos são: `yes` `no`

Após o processamento do pedido, é devolvida uma das seguintes respostas.

Importante: certifique-se de que interpreta a resposta corretamente. Caso contrário, corre o risco de bloquear o cliente no nosso sistema.

Resposta	Estado	Descrição
`good {user’s IP address}`	Êxito	A atualização foi efetuada com êxito. Não deve tentar qualquer outra atualização até o endereço IP mudar.
`nochg {user’s IP address}`	Êxito	O endereço IP fornecido já está configurado para este anfitrião. Não deve tentar qualquer outra atualização até o endereço IP mudar.
`nohost`	Erro	O nome do anfitrião não existe ou não tem o DNS dinâmico ativado.
`badauth`	Erro	A combinação de nome de utilizador/palavra-passe não é válida para o anfitrião especificado.
`notfqdn`	Erro	O nome do anfitrião fornecido não é um nome de domínio totalmente qualificado válido.
`badagent`	Erro	O cliente de DNS dinâmico efetua pedidos incorretos. Certifique-se de que o agente do utilizador está definido no pedido.
`abuse`	Erro	O acesso ao DNS dinâmico para o nome do anfitrião foi bloqueado devido à interpretação incorreta das respostas anteriores.
`911`	Erro	Ocorreu um erro do nosso lado. Aguarde 5 minutos e tente novamente.
`conflict A conflict AAAA`	Erro	Um registo de recurso A ou AAAA personalizado está em conflito com a atualização. Elimine o registo de recurso indicado na página de definições de DNS e tente atualizar novamente.