Generalidades DNSSEC

Generalidades

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) son DNS normales con firmas agregadas para autenticar el origen de los datos. Es un conjunto de especificaciones para proteger la información de DNS.

DreamHost admite DNSSEC como registrador. Esto significa que si tu dominio está registrado en DreamHost, DNSSEC está disponible para el registro del dominio. Sin embargo, en este momento, los nameservers de DreamHost no son compatibles con DNSSEC. Por este motivo, debes alojar tus nameservers en un host de terceros que admita DNSSEC.

Una vez que los nameservers de tu dominio estén alojados en una compañía externa que admita DNSSEC, DreamHost puede completar la configuración de DNSSEC como el registrador del dominio.

¿Cómo configuro DNSSEC en mi dominio?

DreamHost no admite DNSSEC para dominios .eu.

Primero debes alojar tus nameservers en un host de terceros que admita DNSSEC. No es posible habilitar esto si tus nameservers apuntan a DreamHost.

Díle a tu host DNS de terceros que necesitas configurar claves públicas para configurar DNSSEC en tu dominio. Deben proporcionarte 4 piezas de información:

  • key tag
  • algorithm
  • digest type
  • digest

Estos se explican a continuación.

Campo Explicación Ejemplo
key tag Un entero en el rango de 0 a
65535.
62910
algorithm Un entero que hace referencia a un algoritmo criptográfico utilizado para generar la firma. Los valores posibles son
1, 2, 3, 5, 6, 7, 8, 10, 12, 13, 14.
7
digest type Un entero que corresponde al tipo de algoritmo utilizado para construir el resumen. Los valores son
1 or 2.
1
digest Un valor alfanumérico hexadecimal. Asegúrate de eliminar cualquier espacio en blanco. 1D6AC75083F3CEC31861993E325E0EEC7E97D1DD

Cuando tengas esta información, crea un tiquete en tu panel de DreamHost y brinda estos datos al soporte técnico. El soporte técnico puede completar la configuración por ti.

Preguntas Frecuentes

¿Por qué es necesario DNSSEC?

Cuando la infraestructura para DNS se diseñó originalmente, no incluía ninguna protección de seguridad. Si buscaste un sitio web, el servidor DNS no verificó las credenciales antes de aceptar una respuesta y enviarte los datos nuevamente para ver el sitio web. Debido a que no se verificaron las credenciales, un usuario malintencionado podría secuestrar/falsificar el DNS y controlarlo por sus propios medios nefastos. DNSSEC ayuda a prevenir esto al agregar seguridad a DNS.

En pocas palabras, DNSSEC firma digitalmente los datos para que puedas estar seguro de que son válidos y se originan en su fuente original.

¿Qué proporciona DNSSEC a los clientes DNS (solucionadores)?

Un solucionador de DNS es responsable de traducir un nombre de dominio a una dirección IP. DNSSEC proporciona a los clientes DNS (solucionadores) herramientas como:

  • Autenticación de origen de datos DNS
  • Denegación de existencia autenticada
  • Integridad de los datos

DNSSEC puede proteger específicamente cualquier información DNS publicada como:

  • registros de texto (TXT)
  • registros de intercambio de correo (MX)

Lo que DNSSEC NO PUEDE hacer

Confidencialidad — DNSSEC no proporciona confidencialidad de datos. Todas las respuestas DNSSEC están autenticadas, pero no están encriptadas.

Protección DDoS — DNSSEC no protege directamente contra ataques DDoS.

Cifrado — DNSSEC no cifra ningún dato.

Spoofing — DNSSEC no evita la suplantación de identidad o el phishing.

Problemas de DNS después de transferir un dominio a DreamHost

Si observas problemas intermitentes con DNS después de que se complete tu transferencia de dominio, es posible que tu dominio haya usado DNSSEC antes de la transferencia. Los registros DNSSEC también son únicos, ya que se transfieren junto con un registro de dominio, por lo que los registros DNSSEC no se eliminan cuando un dominio se transfiere de un registrador a otro.

Si deseas utilizar los nameservers de DreamHost con tu dominio recién transferido, por favor contacta el soporte de DreamHost para eliminar los registros DNSSEC adjuntos. Si prefieres seguir utilizando DNSSEC, deberás apuntar los nameservers del dominio a un proveedor de DNS que lo admita.

Ver también

¿Este artículo ha respondido sus preguntas?

Última actualización el PST.

¿Aún no encuentra lo que busca?