O DNSSEC adiciona uma camada de autenticação ao seu DNS. Para configurar o DNSSEC, você deve, em primeiro lugar, habilitá-lo no painel da Cloudflare e, em seguida, adicionar um registro DS no seu registrar.
Visão geral
O DNSSEC adiciona uma camada de autenticação a uma infraestrutura de DNS que, sem isso, seria insegura. Ele garante que os visitantes sejam direcionados para o seu servidor web quando o nome do seu domínio é digitado em um navegador da web, evitando assim ataques man-in-the-middle e outros tipos de falsificações de DNS.
Quando você habilita o DNSSEC, a Cloudflare:
- Assina a sua zona
- Publica suas chaves públicas de assinatura
- Gera seu registro DS
Observe que nem todos os registrars e domínios de nível superior (TLD) oferecem suporte ao DNSSEC. Para explorar suas opções, confira O que fazer se o meu registrar ou o TLD não suportam o DNSSEC?
Para habilitar o DNSSEC para o seu domínio é necessário que o DNSSEC esteja habilitado na Cloudflare e que um registro especial seja adicionado à sua configuração de DNS no registrar.
Abaixo as duas etapas necessárias para que o seu domínio que faz proxy para a Cloudflare passe a suportar o DNSSEC.
Etapa 1 — habilitar o DNSSEC no DNS da Cloudflare
Ao habilitar o DNSSEC no painel da Cloudflare em primeiro lugar, você está pedindo que a Cloudflare gere os dados necessários para adicionar um registro de signatário de delegação (DS) ao seu domínio no registrar.
Para obter os dados do registro DS da Cloudflare:
1. Faça o login no painel da Cloudflare.
2. Certifique-se de que o site para o qual você precisa do registro DS está selecionado.
3. Clique no aplicativo de DNS.
4. Role para baixo na tela até o painel de controle do DNSSEC.
5. Clique em Habilitar DNSSEC. Você verá uma caixa de diálogo informando que sua configuração está pendente até que o registro DS seja adicionado ao seu registrar.
6. Em seguida, clique para expandir a lista suspensa do registro DS no painel de controle do DNSSEC.
7. Copie os dados do registro DS exibidos, já que serão necessários para a Etapa 2 abaixo.
Etapa 2 — adicionar um registro DS ao seu registrar
Após concluir a Etapa 1 acima, para concluir a Etapa 2 você precisa ter em mãos os dados de DS gerados pela Cloudflare.
Para concluir a configuração do DNSSEC, é necessário que a configuração de DNS do seu domínio no registrar tenha um registro DS. Localize o seu registrar abaixo e siga as instruções fornecidas.
Registrar | Instruções |
123 Reg | Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare. |
DNSimple | |
domaindiscount24 | |
dotster | Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare. |
DreamHost | No Dreamhost, use o número 2 como Tipo de Digest ao invés de SHA256. |
dynadot | |
enom | |
gandi | No gandi, certifique-se de selecionar o Algoritmo 13 no menu suspenso de algoritmos. |
GoDaddy | |
godzone | Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare. Pode ser que você consiga adicionar um registro DS na guia Domínios do painel de controle da web do godzone. |
Google Domains | Como configurar a segurança do DNSSEC Consulte as instruções para nameservers personalizados |
hover | |
internet.bs | Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare. Pode ser que você consiga adicionar um registro DS:
|
Joker.com | No Joker.com, use o número 2 como Tipo de Digest ao invés de SHA256. |
MarkMonitor | O MarkMonitor suporta o Algoritmo 13 de verificação e implementa automaticamente o Protocolo de Provisionamento Extensivo (EPP) para aprovar os registros DS do registro para os seguintes TLDs: .com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re Para adicionar um registro DS, digite os dados de DS no painel de controle Dados de DNSSEC do portal de gerenciamento do MarkMonitor. |
Moniker | Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare. Pode ser que você consiga adicionar um registro DS:
|
name.com | |
namecheap | Como gerenciar o DNSSEC nos domínios apontados para um DNS personalizado |
nameISP | Como faço para habilitar o DNSSEC no meu domínio? Não é necessário copiar e colar os dados do registro DS da sua conta da Cloudflare para habilitar o DNSSEC no nameISP. |
namesilo | |
OVH | O OVH suporta o DNSSEC com o Algoritmo 13 por meio de sua API. Consulte a documentação. O OVH também permite adicionar o registro DS por meio do Gerenciador de DNS do registrar. |
Public Domain Registry | Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare. Pode ser que esse registrar tenha um limite de TLDs. Consulte Como adicionar registros de signatários de delegação (DS). |
register.com | Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare. |
registro.br | Tutoriais de DNS e DNSSEC (em português) |
Tsohost | Entre em contato com o suporte ao cliente do registrar e forneça os dados de registro DS que você recebeu da Cloudflare. |
O que fazer se o meu registrar ou o TLD não suportam o DNSSEC?
Para habilitar o DNSSEC, tanto o registrar quanto o registro de domínios (TLD) precisam oferecer suporte ao DNSSEC com a opção preferencial de codificação da Cloudflare, o Algoritmo 13.
Embora o suporte ao DNSSEC seja exigido pela ICANN e o Algoritmo 13 tenha sido padronizado há vários anos, alguns registrares e registros de domínios ainda não suportam esses protocolos.
Você tem três opções para tentar conseguir que o seu registrar ofereça suporte ao DNSSEC:
1. Entre em contato com o seu registrar para solicitar um DNSSEC com criptografia moderna. Muitos registrars estão aguardando até que observem uma demanda mais alta para adicionarem o suporte; portanto, por meio da sua solicitação, você estará informando que existe uma necessidade do DNSSEC com o Algoritmo 13.
2. Você pode transferir seu domínio para outro registrar que ofereça suporte ao DNSSEC com o Algoritmo 13, conforme descrito na Etapa 2 acima.
3. Para terminar, você pode enviar uma reclamação para a ICANN mencionando a falta de conformidade do seu registrar. A ICANN exige que os registrars suportem o DNSSEC com todos os tipos de algoritmos de DS disponíveis.
Se você verificar que não existe suporte no nível do TLD, tente a opção 1 acima. Os dados de contato do seu registro de TLD estão disponíveis no Banco de dados de zona raiz da Iana.
Saiba mais sobre o DNSSEC
- DNSSEC da Cloudflare
- Como solucionar problemas de DNSSEC
- Postagem de blog: Anunciando o DNSSEC universal: um DNS seguro para todos os domínios
- Postagem de blog: Introdução ao DNSSEC
- Com referência ao suporte ao Algoritmo 13: ECDSA: a parte que faltava no DNSSEC
- Lista de TLDs sem suporte ao DNSSEC