Explicación y configuración de DNSSEC en DNS de Cloudflare

DNSSEC añade una capa de autenticación a su DNS. Para configurar DNSSEC, debe habilitarlo primero en el panel de Cloudflare y, posteriormente, añadir un registro de DS en su registrador del dominio.


Información general

DNSSEC añade una capa de autenticación a una infraestructura de DNS insegura. Garantiza que los visitantes sean dirigidos a su servidor web cuando accedan a su dominio en un navegador web para, de este modo, evitar los ataques de intermediarios y otros tipos de falsificaciones de DNS.

Para obtener más información, consulte la sección Más información sobre DNSSEC al final de este artículo.

Al habilitar DNSSEC, Cloudflare realiza lo siguiente:

  • Firma su zona
  • Publica sus claves de firma pública
  • Genera su registro de DS

Tenga en cuenta que no todos los registradores y dominios de nivel superior (TLD) admiten DNSSEC. Con el fin de conocer sus opciones, consulte ¿Qué pasa si mi registrador o TLD no admite DNSSEC?

La habilitación de DNSSEC para su dominio requiere habilitar DNSSEC en Cloudflare y añadir un registro especial a su configuración de DNS en el registrador.

A continuación, se incluyen los dos pasos necesarios para añadir la compatibilidad de DNSSEC a su dominio utilizando el proxy de Cloudflare.


Paso 1 - Activación de DNSSEC en DNS de Cloudflare

Al habilitar primero DNSSEC en el panel de Cloudflare, le solicita a Cloudflare que genere los datos necesarios para añadir un registro de signatario de delegación (DS) a su dominio en el registrador.

El paquete de cifrado seleccionado de Cloudflare (Algoritmo 13, también conocido como ECDSA Curve P-256 con SHA-256), no es compatible con algunos registradores. Tenga en cuenta que algunos registradores admiten un conjunto distinto de algoritmos de verificación según el TLD. Si el registrador o su registro de TLD no admite el Algoritmo 13, consulte ¿Qué pasa si mi registrador o TLD no admite DNSSEC?

Para obtener los datos de registro de DS de Cloudflare:

1. Inicie sesión en el panel de Cloudflare.

2. Asegúrese de que se ha seleccionado el sitio web del registro de DS que necesita.

3. Haga clic en la aplicación DNS.

4. Desplácese hacia abajo hasta el panel DNSSEC.

5. Haga clic en Habilitar DNSSEC. Aparece un cuadro de diálogo que le informa que su configuración queda pendiente hasta que se añada el registro de DS al registrador.

6. A continuación, haga clic para abrir el menú desplegable del registro de DS en el panel DNSSEC.

7. Copie la información que aparece del registro de DS, ya que la necesitará en el siguiente paso 2.


Paso 2 - Incorporación de un registro de DS en el registrador

Una vez se ha completado el paso 1, debe tener a mano los datos de DS que haya generado Cloudflare para completar este paso.

Para completar su configuración de DNSSEC, es necesario que el dominio tenga un registro de DS en la configuración DNS del dominio en el registrador. A continuación, busque el registrador y siga las instrucciones facilitadas.

Registrador

Instrucciones

123 Reg

Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare.

DNSimple

Uso de DNSSEC de Cloudflare con DNSimple

domaindiscount24

DNSSEC

dotster

Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare.

DreamHost

Información general de DNSSEC

En DreamHost, utilice 2 como el Digest Type en lugar de SHA256.

dynadot

¿Cómo configuro DNSSEC?

enom

Incorporación de un DNSSEC a un nombre de dominio

gandi

DNSSEC

En gandi, asegúrese de seleccionar Algoritmo 13 para el menú desplegable Algoritmo.

GoDaddy

Añadir un registro de DS

godzone

Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare.

En el panel web de godzone, es posible que pueda añadir un registro de DS en la pestaña Dominios.

Dominios de Google

Configuración de la seguridad de DNSSEC

Consulte las instrucciones relativas a los servidores de nombres personalizados

hover

Explicación y administración de DNSSEC

internet.bs

Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare.

Es posible que pueda añadir un registro de DS:

  • Mis dominios > Actualizar lista DNS > Administrar DNSSEC > Habilitar DNSSEC

Joker.com

Asistencia de DNSSEC

En Joker.com, utilice 2 como el Digest Type en lugar de SHA256.

MarkMonitor

MarkMonitor admite la verificación Algoritmo 13 e implementa automáticamente el protocolo de aprovisionamiento amplio (EPP) para pasar registros de DS al registro de los siguientes TLD:

.com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re

Para añadir un registro de DS, introduzca los datos de DS en el panel Detalles DNSSEC del portal de administración de MarkMonitor. 

Moniker

Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare.

Es posible que pueda añadir un registro de DS:

  • Mis dominios > Configuración avanzada > DNSSEC > DSData

name.com

Administración de DNSSEC

namecheap

Administración de DNSSEC para dominios que apuntan a DNS personalizado

nameISP

¿Cómo habilito DNSSEC para mi dominio?

La habilitación de DNSSEC en nameISP no requiere que copie y pegue los datos de registro de DS desde la cuenta de Cloudflare.

namesilo

Registros DS (DNSSEC)

OVH

OVH admite DNSSEC con el Algoritmo 13 a través de su API. Consulte la documentación.

La llamada API devuelve un registro de DS ligeramente distinto. Esto se debe a que OVH prefiere utilizar SHA-1 en lugar de SHA-256, por lo que una vez se ha introducido el registro de DS, OVH volverá a calcular el DS para utilizar SHA-1. Esto no creará ningún problema en su sitio web.

OVH también admite incorporar el registro de DS a través de su administrador DNS.

Registro de dominio público

Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare.

Este registrador podría tener TLD limitados.

Consulte Incorporación de registros de signatarios de delegación (DS).

register.com

Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare.

registro.br

DNS e DNSSEC Tutoriais (en portugués)

Tsohost

Póngase en contacto con el servicio de atención al cliente del registrador y facilite los datos de registro de DS que haya recibido de Cloudflare.


¿Qué sucede si el registrador o TLD no admite DNSSEC?

Para habilitar DNSSEC, tanto el registrador como su registro (TLD) deben admitir DNSSEC con la opción de cifrado preferida de Cloudflare: Algoritmo 13.

Aunque ICANN requiere la compatibilidad con DNSSEC y el Algoritmo 13 se ha estandarizado durante años, algunos registradores y registros todavía no admiten estos protocolos.

Para intentar que el registrador sea compatible con DNSSEC, tiene tres opciones:

1. Póngase en contacto con el registrador para solicitar DNSSEC con cifrado moderno. Muchos registradores no brindan asistencia hasta que no detectan una demanda mayor; por lo tanto, al ponerse en contacto con ellos, debe indicarles que necesita DNSSEC con el Algoritmo 13.

2. Puede transferir su dominio a un registrador distinto que admita DNSSEC con el Algoritmo 13, como se ha indicado en el paso 2.

3. Finalmente, puede presentar una reclamación a ICANN, citando la falta de cumplimiento del registrador. ICANN requiere que los registradores admitan DNSSEC con todos los tipos de algoritmos de DS disponibles.

Si falta compatibilidad en el nivel de TLD, pruebe la opción 1. Puede encontrar la información de contacto de su registro de TLD en la Base de datos de la zona raíz de Iana.


Más información sobre DNSSEC

 

¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk