DNSSEC añade una capa de autenticación a su DNS. Para configurar DNSSEC, debe habilitarlo primero en el panel de Cloudflare y, posteriormente, añadir un registro de DS en su registrador del dominio.
Información general
DNSSEC añade una capa de autenticación a una infraestructura de DNS insegura. Garantiza que los visitantes sean dirigidos a su servidor web cuando accedan a su dominio en un navegador web para, de este modo, evitar los ataques de intermediarios y otros tipos de falsificaciones de DNS.
Al habilitar DNSSEC, Cloudflare realiza lo siguiente:
- Firma su zona
- Publica sus claves de firma pública
- Genera su registro de DS
Tenga en cuenta que no todos los registradores y dominios de nivel superior (TLD) admiten DNSSEC. Con el fin de conocer sus opciones, consulte ¿Qué pasa si mi registrador o TLD no admite DNSSEC?
La habilitación de DNSSEC para su dominio requiere habilitar DNSSEC en Cloudflare y añadir un registro especial a su configuración de DNS en el registrador.
A continuación, se incluyen los dos pasos necesarios para añadir la compatibilidad de DNSSEC a su dominio utilizando el proxy de Cloudflare.
Paso 1 - Activación de DNSSEC en DNS de Cloudflare
Al habilitar primero DNSSEC en el panel de Cloudflare, le solicita a Cloudflare que genere los datos necesarios para añadir un registro de signatario de delegación (DS) a su dominio en el registrador.
Para obtener los datos de registro de DS de Cloudflare:
1. Inicie sesión en el panel de Cloudflare.
2. Asegúrese de que se ha seleccionado el sitio web del registro de DS que necesita.
3. Haga clic en la aplicación DNS.
4. Desplácese hacia abajo hasta el panel DNSSEC.
5. Haga clic en Habilitar DNSSEC. Aparece un cuadro de diálogo que le informa que su configuración queda pendiente hasta que se añada el registro de DS al registrador.
6. A continuación, haga clic para abrir el menú desplegable del registro de DS en el panel DNSSEC.
7. Copie la información que aparece del registro de DS, ya que la necesitará en el siguiente paso 2.
Paso 2 - Incorporación de un registro de DS en el registrador
Una vez se ha completado el paso 1, debe tener a mano los datos de DS que haya generado Cloudflare para completar este paso.
Para completar su configuración de DNSSEC, es necesario que el dominio tenga un registro de DS en la configuración DNS del dominio en el registrador. A continuación, busque el registrador y siga las instrucciones facilitadas.
|
Registrador |
Instrucciones |
|
123 Reg |
Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare. |
|
DNSimple |
|
|
domaindiscount24 |
|
|
dotster |
Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare. |
|
DreamHost |
En DreamHost, utilice 2 como el Digest Type en lugar de SHA256. |
|
dynadot |
|
|
enom |
|
|
gandi |
En gandi, asegúrese de seleccionar Algoritmo 13 para el menú desplegable Algoritmo. |
|
GoDaddy |
|
|
godzone |
Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare. En el panel web de godzone, es posible que pueda añadir un registro de DS en la pestaña Dominios. |
|
Dominios de Google |
Configuración de la seguridad de DNSSEC Consulte las instrucciones relativas a los servidores de nombres personalizados |
|
hover |
|
|
internet.bs |
Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare. Es posible que pueda añadir un registro de DS:
|
|
Joker.com |
En Joker.com, utilice 2 como el Digest Type en lugar de SHA256. |
|
MarkMonitor |
MarkMonitor admite la verificación Algoritmo 13 e implementa automáticamente el protocolo de aprovisionamiento amplio (EPP) para pasar registros de DS al registro de los siguientes TLD: .com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re Para añadir un registro de DS, introduzca los datos de DS en el panel Detalles DNSSEC del portal de administración de MarkMonitor. |
|
Moniker |
Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare. Es posible que pueda añadir un registro de DS:
|
|
name.com |
|
|
namecheap |
Administración de DNSSEC para dominios que apuntan a DNS personalizado |
|
nameISP |
¿Cómo habilito DNSSEC para mi dominio? La habilitación de DNSSEC en nameISP no requiere que copie y pegue los datos de registro de DS desde la cuenta de Cloudflare. |
|
namesilo |
|
|
OVH |
OVH admite DNSSEC con el Algoritmo 13 a través de su API. Consulte la documentación. La llamada API devuelve un registro de DS ligeramente distinto. Esto se debe a que OVH prefiere utilizar SHA-1 en lugar de SHA-256, por lo que una vez se ha introducido el registro de DS, OVH volverá a calcular el DS para utilizar SHA-1. Esto no creará ningún problema en su sitio web. OVH también admite incorporar el registro de DS a través de su administrador DNS. |
|
Registro de dominio público |
Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare. Este registrador podría tener TLD limitados. Consulte Incorporación de registros de signatarios de delegación (DS). |
|
register.com |
Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare. |
|
registro.br |
DNS e DNSSEC Tutoriais (en portugués) |
|
Tsohost |
Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare. |
¿Qué sucede si el registrador o TLD no admite DNSSEC?
Para habilitar DNSSEC, tanto el registrador como su registro (TLD) deben admitir DNSSEC con la opción de cifrado preferida de Cloudflare: Algoritmo 13.
Aunque ICANN requiere la compatibilidad con DNSSEC y el Algoritmo 13 se ha estandarizado durante años, algunos registradores y registros todavía no admiten estos protocolos.
Para intentar que el registrador sea compatible con DNSSEC, tiene tres opciones:
1. Póngase en contacto con el registrador para solicitar DNSSEC con cifrado moderno. Muchos registradores no brindan asistencia hasta que no detectan una demanda mayor; por lo tanto, al ponerse en contacto con ellos, debe indicarles que necesita DNSSEC con el Algoritmo 13.
2. Puede transferir su dominio a un registrador distinto que admita DNSSEC con el Algoritmo 13, como se ha indicado en el paso 2.
3. Finalmente, puede presentar una reclamación a ICANN, citando la falta de cumplimiento del registrador. ICANN requiere que los registradores admitan DNSSEC con todos los tipos de algoritmos de DS disponibles.
Si falta compatibilidad en el nivel de TLD, pruebe la opción 1. Puede encontrar la información de contacto de su registro de TLD en la Base de datos de la zona raíz de Iana.
Más información sobre DNSSEC
- DNSSEC de Cloudflare
- ¿Cómo funciona DNSSEC?
- Blog - Anuncio de DNSSEC universal: DNS seguro para cada dominio
- Blog - Introducción a DNSSEC
- Acerca de la compatibilidad del Algoritmo 13 - ECDSA: La pieza que falta de DNSSEC
- Lista de los TLD que no admiten DNSSEC