Como entender e configurar o DNSSEC no DNS da Cloudflare

O DNSSEC adiciona uma camada de autenticação ao seu DNS. Para configurar o DNSSEC, você deve, em primeiro lugar, habilitá-lo no painel da Cloudflare e, em seguida, adicionar um registro DS no seu registrar.


Visão geral

O DNSSEC adiciona uma camada de autenticação a uma infraestrutura de DNS que, sem isso, seria insegura. Ele garante que os visitantes sejam direcionados para o seu servidor web quando o nome do seu domínio é digitado em um navegador da web, evitando assim ataques man-in-the-middle e outros tipos de falsificações de DNS.

Para obter informações mais detalhadas, consulte a seção Saiba mais sobre o DNSSEC no final deste artigo.

Quando você habilita o DNSSEC, a Cloudflare:

  • Assina a sua zona
  • Publica suas chaves públicas de assinatura
  • Gera seu registro DS

Observe que nem todos os registrars e domínios de nível superior (TLD) oferecem suporte ao DNSSEC. Para explorar suas opções, confira O que fazer se o meu registrar ou o TLD não suportam o DNSSEC?

Para habilitar o DNSSEC para o seu domínio é necessário que o DNSSEC esteja habilitado na Cloudflare e que um registro especial seja adicionado à sua configuração de DNS no registrar.

A Cloudflare oferece suporte à configuração do DNSSEC automaticamente (por meio dos tipos de registro CDS e CDNSKEY) sem exigir que os clientes carreguem um registro DS manualmente para domínios registrados no âmbito dos seguintes domínios de nível superior:
  • .ch
  • .cz

Abaixo as duas etapas necessárias para que o seu domínio que faz proxy para a Cloudflare passe a suportar o DNSSEC.


Etapa 1 — habilitar o DNSSEC no DNS da Cloudflare

Ao habilitar o DNSSEC no painel da Cloudflare em primeiro lugar, você está pedindo que a Cloudflare gere os dados necessários para adicionar um registro de signatário de delegação (DS) ao seu domínio no registrar.

O conjunto de cifras escolhido pela Cloudflare (Algoritmo 13, também conhecido como ECDSA Curve P-256 with SHA-256), não é suportado por alguns registrars. Observe que alguns registrars oferecem suporte a um outro conjunto de algoritmos de verificação, dependendo do TLD. Se o seu registrar ou registro de TLD não suporta o Algoritmo 13, leia O que fazer se o meu registrar ou o TLD não suportam o DNSSEC?

Para obter os dados do registro DS da Cloudflare:

1. Faça o login no painel da Cloudflare.

2. Certifique-se de que o site para o qual você precisa do registro DS está selecionado.

3. Clique no aplicativo de DNS.

4. Role para baixo na tela até o painel de controle do DNSSEC.

5. Clique em Habilitar DNSSEC. Você verá uma caixa de diálogo informando que sua configuração está pendente até que o registro DS seja adicionado ao seu registrar.

6. Em seguida, clique para expandir a lista suspensa do registro DS no painel de controle do DNSSEC.

7. Copie os dados do registro DS exibidos, já que serão necessários para a Etapa 2 abaixo.


Etapa 2 — adicionar um registro DS ao seu registrar

Após concluir a Etapa 1 acima, para concluir a Etapa 2 você precisa ter em mãos os dados de DS gerados pela Cloudflare.

Para concluir a configuração do DNSSEC, é necessário que a configuração de DNS do seu domínio no registrar tenha um registro DS. Localize o seu registrar abaixo e siga as instruções fornecidas.

Registrar

Instruções

123 Reg

Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare.

DNSimple

Como utilizar o DNSSEC da Cloudflare no DNSimple

domaindiscount24

DNSSEC

dotster

Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare.

DreamHost

Visão geral do DNSSEC

No Dreamhost, use o número 2 como Tipo de Digest ao invés de SHA256.

dynadot

Como faço para configurar o DNSSEC?

enom

Como adicionar um DNSSEC a um nome de domínio

gandi

DNSSEC

No gandi, certifique-se de selecionar o Algoritmo 13 no menu suspenso de algoritmos.

GoDaddy

Adicionar um registro DS

godzone

Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare.

Pode ser que você consiga adicionar um registro DS na guia Domínios do painel de controle da web do godzone.

Google Domains

Como configurar a segurança do DNSSEC

Consulte as instruções para nameservers personalizados

hover

Como entender e gerenciar o DNSSEC

internet.bs

Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare.

Pode ser que você consiga adicionar um registro DS:

  • Meus Domínios > Atualizar Lista de DNS > Gerenciar o DNSSEC > Habilitar o DNSSEC

Joker.com

Suporte de DNSSEC

No Joker.com, use o número 2 como Tipo de Digest ao invés de SHA256.

MarkMonitor

O MarkMonitor suporta o Algoritmo 13 de verificação e implementa automaticamente o Protocolo de Provisionamento Extensivo (EPP) para aprovar os registros DS do registro para os seguintes TLDs:

.com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re

Para adicionar um registro DS, digite os dados de DS no painel de controle Dados de DNSSEC do portal de gerenciamento do MarkMonitor.

Moniker

Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare.

Pode ser que você consiga adicionar um registro DS:

  • Meus Domínios > Configurações Avançadas > DNSSEC > DSData

name.com

Como gerenciar o DNSSEC

namecheap

Como gerenciar o DNSSEC nos domínios apontados para um DNS personalizado

nameISP

Como faço para habilitar o DNSSEC no meu domínio?

Não é necessário copiar e colar os dados do registro DS da sua conta da Cloudflare para habilitar o DNSSEC no nameISP.

namesilo

Registros DS (DNSSEC)

OVH

O OVH suporta o DNSSEC com o Algoritmo 13 por meio de sua API. Consulte a documentação.

O OVH também permite adicionar o registro DS por meio do Gerenciador de DNS do registrar.

Public Domain Registry

Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare.

Pode ser que esse registrar tenha um limite de TLDs.

Consulte Como adicionar registros de signatários de delegação (DS).

register.com

Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare.

registro.br

Tutoriais de DNS e DNSSEC (em português)

Tsohost

Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare.


O que fazer se o meu registrar ou o TLD não suportam o DNSSEC?

Para habilitar o DNSSEC, tanto o registrar quanto o registro de domínios (TLD) precisam oferecer suporte ao DNSSEC com a opção preferencial de codificação da Cloudflare, o Algoritmo 13.

Embora o suporte ao DNSSEC seja exigido pela ICANN e o Algoritmo 13 tenha sido padronizado há vários anos, alguns registrares e registros de domínios ainda não suportam esses protocolos.

Você tem três opções para tentar conseguir que o seu registrar ofereça suporte ao DNSSEC:

1. Entre em contato com o seu registrar para solicitar um DNSSEC com criptografia moderna. Muitos registrars estão aguardando até que observem uma demanda mais alta para adicionarem o suporte; portanto, por meio da sua solicitação, você estará informando que existe uma necessidade do DNSSEC com o Algoritmo 13.

2. Você pode transferir seu domínio para outro registrar que ofereça suporte ao DNSSEC com o Algoritmo 13, conforme descrito na Etapa 2 acima.

3. Para terminar, você pode enviar uma reclamação para a ICANN mencionando a falta de conformidade do seu registrar. A ICANN exige que os registrars suportem o DNSSEC com todos os tipos de algoritmos de DS disponíveis.

A ICANN não tem nenhuma autoridade sobre os TLDs de código de país (ccTLDs).  Entre em contato diretamente com o ccTLD. A IANA mantém uma lista de todos os ccTLDs delegados e de seus gerentes designados.

Se você verificar que não existe suporte no nível do TLD, tente a opção 1 acima. Os dados de contato do seu registro de TLD estão disponíveis no Banco de dados de zona raiz da Iana.


Saiba mais sobre o DNSSEC

 

Não encontra o que precisa?

95% das perguntas podem ser respondidas usando a ferramenta de pesquisa. Essa é a maneira mais rápida de obter uma resposta.