Configuración de DNSSEC para un dominio

Vea el tutorial en vídeo (EN)

DNSSEC es la extensión del protocolo DNS que permite firmar los datos del DNS para así proteger el proceso de resolución de nombres de dominio. Si desea consultar la información general acerca de DNSSEC y sus usos, visite el sitio web de ICANN y https://tools.ietf.org/html/rfc6781.

Nota: el soporte de DNSSEC está disponible en Plesk para Linux. La extensión Plesk DNSSEC debe ser instalada en Plesk por el proveedor de hosting.

Puede realizar las siguientes acciones para proteger los datos del DNS de sus dominios con DNSSEC:

  • Firmar y dejar de firmar zonas de dominio conforme a las especificaciones de DNSSEC
  • (Opcional) Especificar la configuración que debería usarse para la generación de claves
  • Recibir notificaciones
  • Ver y copiar registros de recursos DS
  • Ver y copiar grupos de registros de recursos DNSKEY

Firma de una zona de dominio

Para empezar a usar la protección DNSSEC de su zona DNS, firme esta zona. Plesk firma la zona con firmas generadas automáticamente usando dos pares de claves asimétricas, Key Signing Key (KSK) y Zone Signing Key (ZSK).

Para firmar una zona de dominio:

  1. Seleccione el dominio en Sitios web y dominios.
  2. Vaya a DNSSEC y haga clic en Firmar la zona DNS.
  3. Si anteriormente no se había firmado la zona, Plesk le pedirá que genere las claves que se usarán para crear una firma.

    Puede utilizar los valores predeterminados o especificar otros valores. A continuación puede ver los Valores recomendados.

    2016-09-09_181447

  4. Si anteriormente había firmado la zona DNS, puede usar las claves generadas anteriormente o bien generar unas claves nuevas. Si opta por claves nuevas, puede usar los valores predeterminados o bien especificar otros valores. A continuación puede ver los Valores recomendados.

    Valores recomendados de configuración de generación de KSK y ZSK:

    • Una clave larga y un largo periodo de sustitución para KSK.

      Cada vez que se actualice Key Signing Key, deberá actualizar los registros DS en la zona principal. Los valores recomendados le ayudarán a actualizar los registros DS lo menos posible sin poner en riesgo la seguridad.

    • Una clave más corta y un periodo de sustitución para ZSK más corto.

      Zone Signing Key se actualiza automáticamente. Los valores recomendados le ayudarán a no consumir tantos recursos del sistema sin poner en riesgo la seguridad.

      DNSSEC_ask

  5. Al final del proceso de firma, Plesk muestra los registros DS, que contienen hashes de las Key Signing Keys usadas para la firma de la zona.

    Copie los registros de recursos DS al portapapeles y a continuación añádalos a la zona de dominio principal. Consulte Actualización de registros DS en la zona principal a continuación.

    DNSSEC_copy_records

  

Actualización de registros DS en la zona principal

Si la zona principal no tiene actualizados los registros DS, el servicio DNS ya no resolverá el nombre de dominio.

Cuando se actualicen las claves DNSSEC, deberá añadir o actualizar los registro DS de forma manual en la zona de dominio principal, concretamente:

  • Usted firmó una zona de dominio usando unas claves nuevas.
  • Aconteció un evento de sustitución de KSK (Key Signing Key).

Plesk le envía notificaciones y le concede algún tiempo para actualizar los registros DS , siendo este periodo igual al periodo de sustitución KSK. Durante este periodo, los registros DS anteriores siguen siendo válidos.

Si dejó de firmar la zona de dominio, deberá eliminar los registros DS de forma manual en la zona de dominio principal.

Para actualizar los registros DS en la zona principal:

En el caso de un dominio en Plesk cuya zona principal no esté en Plesk, actualice los registros DS en el registrador del dominio.

En el caso de un subdominio de un dominio alojado en Plesk y que tenga la zona DNS en Plesk:

  1. Vaya a la configuración DNS del dominio principal (Sitios web y dominios > vaya al dominio principal > Configuración DNS).
  2. Añada registros nuevos de tipo DS (Añadir registro) y pegue los valores que Plesk muestra en la casilla Registros de recursos DS en la configuración DNSSEC del subdominio.

Dejar de firma una zona de dominio

Si deja de firmar una zona de dominio, se desactivará la protección DNSSEC para dicha zona. Puede que sea necesario dejar de firmar una zona si las claves se han visto comprometidas y desea firmar la zona mediante unas nuevas claves.

Para dejar de firmar una zona de dominio:

  1. Vaya a Sitios web y dominios > seleccione un dominio > DNSSEC y haga clic en Dejar de firmar.
  2. Elimine los registros de recursos DS de la zona principal. De lo contrario, no podrá resolverse el dominio.

Nota: cuando deje de firma una zona, las claves no se eliminarán de Plesk. Puede volver a firmar la zona usando las mismas claves.

Visualización de registros de recurso DNSKEY

Puede que necesite recuperar los registros de recursos DNSKEY, que contienen las partes públicas de las Key Signing Keys usadas por un dominio.

Para ver los registros DNSKEY:

  1. Vaya a Sitios web y dominios > seleccione un dominio > DNSSEC.
  2. Haga clic en Ver registros DNSKEY.