Documentación de Oracle Cloud Infrastructure

DNSSEC

Las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) proporcionan autenticación criptográfica para las respuestas de consulta de DNS.

El DNS no fue diseñado originalmente para cifrar o autenticar el tráfico DNS, por lo que el protocolo DNS no proporciona protección contra respuestas maliciosas o falsificadas. DNSSEC agrega extensiones de seguridad a DNS para proteger a los clientes de dichos ataques. DNSSEC utiliza la verificación criptográfica para garantizar que el solucionador pueda verificar cada respuesta de DNS tanto para la integridad (el mensaje no cambió durante el tránsito) como para la autenticidad (los datos provienen del origen esperado). DNSSEC no cifra la respuesta a las consultas DNS. Consulte la referencia de RFC DNSSEC para obtener información general.

Puede configurar y gestionar OCI DNSSEC en cada zona pública individual. DNSSEC requiere un solucionador de validación para validar firmas, y cada proveedor/registrador de DNS en la jerarquía de zonas debe admitir DNSSEC. OCI DNSSEC utiliza el algoritmo de firma RSASHA256 con una longitud de clave de 256 bytes y el algoritmo de delegación SHA256.

Los tipos de registro específicos asociados a DNSSEC son DNSKEY, DS, NSEC3 y RRSIG. Los registros NSEC3 y RRSIG no aparecen en la consola ni en la API, pero se incluyen en las respuestas de consulta. Puede crear y actualizar registros de DS como parte del proceso de configuración y renovación. El servicio DNS crea y gestiona automáticamente registros DNSKEY, pero puede cambiar el registro TTL.

OCI DNSSEC utiliza la firma dinámica (en línea). Con la firma dinámica, los registros RRSIG y NSEC3 son generados por el servidor de nombres que responde a las consultas.

Limitaciones y consideraciones

Antes de configurar DNSSEC en zonas DNS, tenga en cuenta la siguiente información importante:
  • DNSSEC no está soportado en zonas privadas.
  • Para utilizar DNSSEC con zonas secundarias, debe activar DNSSEC con el proveedor de DNS principal.
  • Para migrar una zona con firma DNSSEC existente a OCI, primero desactive DNSSEC en la zona. A continuación, copie los registros en la zona de OCI. Por último, active DNSSEC en la zona de OCI.
  • Tener DNSSEC y salida secundaria en una zona no se admite. Puede utilizar la entrada secundaria de un proveedor externo que utiliza DNSSEC en una zona de OCI, pero el proveedor externo es responsable de firmar la zona.
  • Puede utilizar DNSSEC junto con funciones avanzadas como ALIAS, CNAME y Traffic Management en una zona.
  • DNS utiliza el puerto TCP 53 como mecanismo de reserva cuando no puede utilizar UDP para enviar datos. El DNS tradicional se basa en TCP 53 para operaciones como la transferencia de zona. El uso de DNSSEC, o DNS con registros IPv6 como AAAA, aumenta la posibilidad de que los datos de DNS se transmitan en TCP.
  • Los cambios de registro DS necesarios para la configuración por primera vez o la renovación regular pueden ser realizados por el registrador de dominios si el registrador no ofrece esa funcionalidad como autoservicio.
  • Asegúrese de que el registrador de dominios y todos los proveedores de DNS para zonas principales y secundarias admiten registros DNSSEC y DS.

Conceptos de DNSSEC

Estado DNSSEC
Propiedad de una zona que indica si DNSSEC está activado o desactivado en la zona.
Configuración de DNSSEC
Propiedad de una zona que contiene información sobre las versiones de clave DNSSEC.
Versión de clave DNSSEC
La información relevante para una clave de firma de zona (ZSK) o una clave de firma de clave (KSK).
ZSK (clave de firma de zona)
Clave utilizada para firmar todos los RRsets que no son DNSKEY en la zona.
KSK (clave de firma de clave)
Clave utilizada para firmar DNSKEY RRset en la zona. Establece una cadena de confianza con la zona principal.
Cadena de confianza
Cadena continua de zonas firmadas que comienza en la zona raíz. La cadena de confianza está formada por DNSKEY records en la zona secundaria y DS records en el principal. La cadena de confianza pasa de una zona firmada por DNSSEC, en la jerarquía de zonas, a la zona raíz. La cadena se verifica con firmas a través de criptografía asimétrica.
Renovar
Una secuencia cuidadosamente orquestada de pasos para reemplazar una versión antigua de clave DNSSEC por una nueva versión de clave DNSSEC sin interrupción. Consulte Rollover.
Ubicar temporalmente
Paso del proceso de renovación. Introduzca una nueva versión de clave DNSSEC para que pueda sustituir una versión de clave DNSSEC existente.
Ascender
Paso del proceso de renovación. Informe a OCI de que ha agregado la información necesaria sobre el nuevo KSK al registro DS de zona principal.
Hora de publicación
Propiedad de una versión de clave DNSSEC. Indica que existe un registro DNSKEY en una zona que comienza a la hora especificada.
Tiempo activado
Propiedad de una versión de clave DNSSEC. Indica que la clave está firmando la zona a partir de la hora especificada.
Hora de desactivación
Propiedad de una versión de clave DNSSEC. Indica que la clave ya no firma la zona a partir de la hora especificada.
Tiempo sin publicar
Propiedad de una versión de clave DNSSEC. Indica que un registro DNSKEY ya no existe en una zona que comienza a la hora especificada.
Tiempo caducado
Propiedad de una versión de clave DNSSEC. Hora a la que está programada la eliminación de una versión de clave DNSSEC.

Introducción

Para que DNSSEC funcione, se necesita una cadena de confianza válida desde la raíz hasta la zona. Antes de comenzar, asegúrese de que el registrador de dominios y todos los proveedores de DNS para zonas principales y secundarias admitan los registros DNSSEC y DS.

Le recomendamos que supervise la resolución de dominios con y sin DNSSEC, antes y durante todo el proceso. Las herramientas útiles que puede utilizar para verificar su configuración de DNSSEC son las herramientas Dig y Delv de BIND, DNSViz o DNS Analyzer.

Asegúrese de familiarizarse con todo el proceso de configuración de DNSSEC antes de comenzar.

Configuración de DNSSEC

  1. Cree una zona y active DNSSEC durante la creación. O bien, actualice una zona existente para activar DNSSEC. Espere a que la solicitud de trabajo se complete correctamente antes de continuar.
  2. Cree un registro DS en la zona principal en el punto de delegación que contenga la información de resumen de KSK. La zona principal puede ser una zona de OCI u otro proveedor de DNS.
  3. Después de crear el registro DS, promocione el KSK. Este paso informa a OCI de que ha completado el paso 2 y que la automatización puede continuar.
  4. Cree una alarma para avisarle cuando se genere una nueva versión de KSK para que pueda completar las acciones de renovación necesarias.

Renovar

La renovación es el proceso de introducción de una nueva versión de clave DNSSEC y eliminación de la versión de clave DNSSEC antigua sin interrupción. El proceso de renovación para ZSK y KSK se alinea con las mejores prácticas de seguridad en relación con la criptografía de clave pública. Las claves de sustitución se generan una semana antes de la caducidad.

Puede utilizar la operación stage DNSSEC key en cualquier momento para crear una versión de clave de sustitución antes de lo programado. Puede tener hasta 10 versiones de claves en una zona a la vez. Recomendamos que se produzca una sola renovación de clave en un momento de cualquier tipo de clave.
Nota

Los patrones de renovación por defecto están sujetos a cambios por parte de OCI. Para solicitar una renovación de clave única fuera del patrón por defecto, Solicitudes de soporte.

Renovación de ZSK

Los ZSK se renuevan automáticamente cada 30 días de manera predeterminada. En primer lugar, se crea una versión de clave de ZSK de sustitución. A continuación, se elimina la versión antigua de la clave de ZSK. Si decide ubicar temporalmente un ZSK de sustitución antes de lo programado, espere hasta que la renovación del ZSK se haya completado correctamente antes de ubicar temporalmente otro ZSK para comenzar una segunda renovación. Esto evita interrupciones del servicio debido a diferencias de temporización en las cachés de ZSK o TTL de registro (tiempo de actividad).

Renovación de KSK

La renovación de KSK comienza anualmente cuando se crea una versión de clave DNSSEC de sustitución. La alarma que crea durante el paso de configuración 4 y una notificación en la consola le permiten saber que un nuevo KSK requiere promoción. Para evitar interrupciones del servicio, después de crear el nuevo registro DNSKEY, debe esperar hasta que caduque el TTL del registro DNSKEY antes de eliminar el registro DS antiguo. Puede continuar de dos formas:
  • Una vez creado el nuevo registro DNSKEY, espere hasta que caduque el TTL del registro DNSKEY. A continuación, agregue el nuevo registro DS y elimine el registro DS antiguo al mismo tiempo.
  • Después de crear el nuevo registro de DNSKEY, agregue el nuevo registro de DS inmediatamente. Espere la TTL de DNSKEY RRSet en la zona que se va a renovar o la TTL de DS RRSet en el principal, lo que sea mayor, y, a continuación, elimine el registro DS antiguo.

La ausencia de un registro DS en el lado principal de un corte no suele interrumpir el tráfico, pero no establece una cadena de confianza que requiera la firma de la zona secundaria. Por lo tanto, si elimina el registro DS antiguo demasiado pronto o antes de agregar el nuevo registro DS, la zona deja de utilizar DNSSEC durante ese período de tiempo.

Consulte Rolling Over a Key-Signing Key (KSK).

Temporización

El TTL máximo permitido en las zonas con firma DNSSEC es un día. Este límite garantiza que no se interrumpa el servicio durante una renovación, ya que el proceso de renovación a veces requiere esperar hasta que caduquen las TTL antes de continuar.

Recomendamos usar un TTL de una hora para los registros DNSKEY en las zonas. La renovación de un KSK implica esperar el TTL del DNSKEY en ciertos pasos del proceso. Si un TTL es demasiado grande, no es posible completar la renovación dentro del período de renovación, lo que provoca una interrupción.

Recomendamos utilizar un TTL de una hora al crear registros DS en zonas principales. Si un registrador o proveedor de DNS no admite un TTL de una hora, siga sus recomendaciones. Para obtener más información sobre cómo decidir sobre un TTL para un registro DS, consulte DS Signature Validity Period en la referencia de RFC DNSSEC.

Los cambios de registro tardan algún tiempo en aprovisionarse antes de que estén disponibles en las respuestas de consulta. Tenga en cuenta el tiempo de aprovisionamiento de registros al estimar el tiempo de espera para los cambios de registros. Si la zona principal es gestionada por un registrador, los cambios realizados en el registrador pueden tardar más (48 horas es posible) en propagarse globalmente.