Cómo habilitar DNSSEC en cPanel y su registrador de dominio

Esta guía a continuación le muestra cómo habilitar DNSSEC en cPanel y en su registrador de dominio para evitar ataques de intermediarios, ataques de envenenamiento de caché y otros tipos de falsificaciones de DNS.

Dada la forma en que Internet define actualmente todos los aspectos de nuestras vidas, a menudo es fácil olvidar que el Sistema de nombres de dominio (DNS) que forma su núcleo central se mantiene unido mediante conductos y cintas.

Cuando se diseñó el DNS en la década de 1980, Internet era mucho más pequeño y la seguridad nunca fue una consideración, ya que las personas dentro de la red confiaban entre sí.

El mundo ha cambiado.

Los avances tecnológicos han permitido que Internet se convierta en parte del tejido de nuestra existencia cotidiana.

Esto ha creado oportunidades para explotaciones de DNS que incluyen suplantación de identidad/envenenamiento de caché de DNS, tunelización de DNS, secuestro de DNS, ataque NXDOMAIN, ataque de dominio fantasma, ataque de CPE basado en botnet y otros.

Considere una situación en la que un solucionador recursivo envía una consulta a un servidor de nombres autorizado.

Tal como está ahora, el resolutor no tiene forma de verificar la autenticidad de la respuesta.

Solo puede comprobar que la respuesta parece provenir de la misma dirección IP a la que el resolutor envió la consulta original, pero no puede detectar fácilmente una respuesta falsificada a una de sus consultas si hay una presente.

Un atacante puede hacerse pasar fácilmente por el servidor autorizado, secuestrar la búsqueda de DNS para enviar a un usuario a un sitio web fraudulento que distribuye malware o recopilar información personal sin que el usuario se dé cuenta.

Los ingenieros del Grupo de Trabajo de Ingeniería de Internet (IETF) (la organización responsable de los estándares del protocolo DNS ) conocían esta debilidad y han estado buscando una solución.

Este esfuerzo dio como resultado lo que hoy conocemos como Extensiones de seguridad DNSSEC (DNSSEC ).

DNSSEC (diseñado para ser compatible con versiones anteriores) es un conjunto de extensiones que agrega seguridad adicional al protocolo DNS mediante la implementación de una política de firma digital jerárquica en todas las capas de DNS.

Una de sus funciones principales es servir como protección eficaz contra los ataques de falsificación de DNS... cuando se implementa correctamente.

La autenticación de origen de datos de la validación de solicitudes de DNS permite que un resolutor verifique criptográficamente que los datos que recibió provienen realmente de la zona donde cree que se originaron.

Y la protección de la integridad de los datos permite que el resolutor sepa que los datos no se han modificado en tránsito desde que el propietario de la zona los firmó originalmente con la clave privada de la zona.

De acuerdo con nuestra promesa de que nuestros clientes siempre tendrán acceso a las mejores y más recientes funciones que ofrece cPanel , nos complace anunciar que ahora puede habilitar DNSSEC para su dominio en todos nuestros servidores de producción de cPanel.

Hemos creado una guía detallada sobre cómo hacer esto en https://dashboard.webhostingmagic.com/knowledgebase/23/DNSSEC

Cuando lo habilita, DNSSEC agrega una capa de autenticación sobre su DNS, lo que le brinda una forma de evitar todos los problemas que mencionamos anteriormente.

Por el momento, DNSSEC no es automático.

Después de crear la clave en cPanel, usted, el propietario del nombre de dominio, debe habilitarla específicamente en los servidores autorizados de su zona.

El proceso difiere de cada registrador, pero al igual que puede realizar otros cambios en una zona (como los servidores de nombres autorizados de una zona ), también puede actualizar el material de clave pública de la zona para completar la implementación de DNSSEC.

En esta página, hemos enumerado algunos de los registradores de dominio más comunes que han utilizado algunos de nuestros clientes que alojan su DNS fuera de nuestros sistemas.

Si el suyo no está en la lista, comuníquese con el equipo de soporte de su registrador de dominio para obtener ayuda.

GRAN ADVERTENCIA:NO IGNORES ESTA ADVERTENCIA

La primera pregunta que realmente debe hacerse es:¿debería habilitar DNSSEC? ?

La razón por la que debe responder a esta pregunta es que habilitar DNSSEC altera fundamentalmente la forma en que relaciona o administra su dominio y los registros DNS.

Por ejemplo, una vez que habilite DNSSEC para su dominio, no podrá cambiar sus servidores de nombres a la ligera.

Antes de cambiar los servidores de nombres, debe deshabilitar DNSSEC y esperar al menos 72 horas antes de realizar dichos cambios.

Si no lo hace, es posible que su dominio no se resuelva.

Otro ejemplo es cuando tiene que transferir un nombre de dominio a otro registrador o proveedor de servicios de alojamiento web.

Primero debe eliminar los registros del servidor de dominio (DS), esperar a que los cambios se propaguen antes de iniciar la transferencia.

Si no elimina los registros DS antiguos del registrador, los dominios pueden producir problemas de resolución de DNS debido a respuestas de DNSSEC no válidas.

Ahora que está fuera del camino, a continuación hay enlaces que puede necesitar para completar la habilitación de DNSSEC en su registrador de dominio.

Registrador	Instrucciones
Registro 123	Póngase en contacto con el servicio de atención al cliente de su registrador y proporcione los datos de registro de DS que generó en Web Hosting Magic cPanel.
DNSimple	Uso de Web Hosting Magic cPanel DNSSEC con DNSimple
descuento de dominio24	DNSSEC
dotster	Póngase en contacto con el servicio de atención al cliente de su registrador y proporcione los datos de registro de DS que generó en Web Hosting Magic cPanel.
DreamHost	Resumen de DNSSEC En DreamHost, usa 2 como tipo de resumen en lugar de SHA256 .
dynadot	¿Cómo configuro DNSSEC?
Enom	En el momento de escribir este artículo, los servidores de nombres predeterminados de Enon no admiten la creación de los registros de recursos apropiados para crear una cadena DNSSEC adecuada. Obtenga más información en Agregar un DNSSEC a un nombre de dominio
gandí	DNSSEC En Gandi, asegúrese de seleccionar Algoritmo 13 para el menú desplegable Algoritmo.
GoDaddy	Para configurar un registro de DS con GoDaddy, realice los siguientes pasos: Haga clic en Administrar. En la esquina superior derecha de la interfaz, seleccione la vista de lista. Seleccione el dominio para el que desea crear un registro de DS. En la sección Registros de DS de la interfaz de Configuración, haga clic en Administrar. Haga clic en Agregar registro de DS. Ingrese la información de la clave DNSSEC en los cuadros de texto y haga clic en Siguiente. El sistema validará la información del registro de DS que agregó. Haga clic en Siguiente y luego en Aceptar. Agregar un registro de DS
zona divina	Póngase en contacto con el servicio de atención al cliente de su registrador y proporcione los datos de registro de DS que generó en Web Hosting Magic cPanel. En el panel de control web de Godzone, es posible que pueda agregar un registro de DS en Dominios pestaña.
Dominios de Google	Si está utilizando servidores de nombres de Google Domains, puede activar DNSSEC con un solo clic. Siga estas instrucciones: Inicie sesión en Dominios de Google. Seleccione el nombre de su dominio. Abrir el menú Haga clic en DNS . Desplácese hasta "DNSSEC". Haga clic en Habilitar DNSSEC o Deshabilitar DNSSEC para cambiar la configuración del dominio. Cuando activa DNSSEC, DNSSEC tarda aproximadamente 2 horas en activarse por completo. Cuando lo apaga, hay un retraso de hasta 2 días antes de la desactivación. Si tiene servidores de nombres personalizados, es posible que necesite un proveedor de DNS externo para configurar DNSSEC para su dominio. Además, debe activar DNSSEC en Google Domains. Siga las instrucciones a continuación: Identifique uno o más registros DNSKEY que haya creado en Web Hosting Magic cPanel para su dominio. Obtenga los siguientes valores: Etiqueta clave: Valor numérico que hace referencia a un registro DNSKEY existente. Algoritmo: Algoritmo de cifrado que creó la clave de seguridad en el registro DNSKEY. Por lo general, se combina con una función hash, como en RSA/SHA1. Tipo de resumen: Algoritmo utilizado para crear el resumen del registro DNSKEY. También llamado "algoritmo de resumen", "hash de resumen" o "función de hash de resumen". Resumen: Valor hash del registro DNSKEY que lo identifica de forma única sin exponer el valor de la clave. Dependiendo del tipo de resumen, la longitud es: SHA1 – 40 dígitos hexadecimales SHA256 – 64 dígitos hexadecimales SHA384 – 96 dígitos hexadecimales Para cada registro DNSKEY, cree al menos un registro de recurso de delegación de firma (DS). Sigue estos pasos: Inicie sesión en Dominios de Google. Seleccione el nombre de su dominio. Abre el menú. Haga clic en DNS . Desplácese hasta "DNSSEC". Cree una entrada utilizando los valores de los pasos anteriores. DNS y DNSSEC de Google Cloud Si se habilitó DNSSEC durante la creación de la zona DNS, seleccione DNSSEC en Activado y haga clic en Guardar. Google Cloud DNS creará registros DNSSEC para claves públicas (DNSKEY), firmas (RRSIG) e inexistencia (NSEC o NSEC3 y NSEC3PARAM) para autenticar el contenido de su zona y administrarlo automáticamente. Una vez realizada esta acción, es hora de tratar con la parte Registrar. Haga clic en el nombre de la Zona, luego en Configuración del registrador en la parte superior derecha para ver los registros de recursos de DNSSEC para actualizar en su dominio. Obtendrá estos valores que necesitará para asegurar el nombre de dominio en su registrador. Etiqueta clave:valor numérico que hace referencia a un registro DNSKEY existente o valor entero que identifica el registro DNSSEC del dominio. Algoritmo:algoritmo de cifrado que creó la clave de seguridad en el registro DNSKEY. Tipo de resumen:Algoritmo utilizado para crear el resumen del registro DNSKEY. Resumen:valor hash del registro DNSKEY que lo identifica de forma única sin exponer el valor de la clave.
pasar el cursor	Comprensión y administración de DNSSEC
internet.bs	Póngase en contacto con el servicio de atención al cliente de su registrador y proporcione los datos de registro de DS que generó en Web Hosting Magic cPanel. Es posible que pueda agregar un registro de DS: Mis dominios> Actualizar lista de DNS> Administrar DNSSEC> Habilitar DNSSEC
Joker.com	Compatibilidad con DNSSEC En Joker.com, usa 2 como tipo de resumen en lugar de SHA256 .
MarkMonitor	MarkMonitor admite el Algoritmo de verificación 13 e implementa automáticamente el Protocolo de aprovisionamiento extenso (EPP) para pasar registros DS al registro para los siguientes TLD: .com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re Para agregar un registro de DS, ingrese los datos de DS en Detalles de DNSSEC panel del portal de gestión MarkMonitor.
Apodo	Póngase en contacto con el servicio de atención al cliente de su registrador y proporcione los datos de registro de DS que generó en Web Hosting Magic cPanel. Es posible que pueda agregar un registro de DS: Mis dominios>Configuración avanzada> DNSSEC> DSData
nombre.com	Administración de DNSSEC
namecheap	Para configurar un registro DS con NameCheap, realice los siguientes pasos: Haga clic en Lista de dominios en el menú de la izquierda. Seleccione el dominio para el que desea configurar un registro de DS y haga clic en Administrar. Haga clic en DNS avanzado. Configure el conmutador DNSSEC en activado. Aparecerá el menú de registros de DS. Haga clic en AGREGAR NUEVO DS. Ingrese la información de la clave DNSSEC en los cuadros de texto. Haga clic en GUARDAR TODOS LOS CAMBIOS. Administrar DNSSEC para dominios apuntados a DNS personalizado
OpenSRS	Para configurar un registro DS con OpenSRS, realice los siguientes pasos: Haga clic en Dominios. Ubique el dominio para el que desea configurar un registro de DS y haga clic en el nombre del dominio. Desplácese hacia abajo hasta la sección DNSSEC y haga clic en Editar. Aparecerá el menú de registros de DS. Ingrese la información de la clave DNSSEC en los cuadros de texto. Haga clic en Guardar.
nombreISP	¿Cómo habilito DNSSEC para mi dominio? Habilitar DNSSEC en nameISP no requiere que copie y pegue los datos de registro de DS de su cuenta de Web Hosting Magic cPanel.
nombresilo	Registros DS (DNSSEC)
OVH	OVH soporta DNSSEC con Algoritmo 13 a través de su API. Consulte la documentación. OVH también admite agregar el registro DS a través de su Administrador de DNS.
Registro de dominio público	Póngase en contacto con el servicio de atención al cliente de su registrador y proporcione los datos de registro de DS que generó en Web Hosting Magic cPanel. Este registrador puede tener TLD limitados. Consulte Agregar registros de firmante de delegación (DS).
registrar.com	Póngase en contacto con el servicio de atención al cliente de su registrador y proporcione los datos de registro de DS que generó con Web Hosting Magic cPanel.
registro.br	Tutoriales de DNS y DNSSEC (en portugués)
Tsohost	Póngase en contacto con el servicio de atención al cliente de su registrador y proporcione los datos de registro de DS que generó con Web Hosting Magic cPanel.

Cuando DNSSEC se haya aplicado con éxito a su dominio, puede confirmar revisando la información de WHOIS para su dominio.

Los dominios con DNSSEC leerán "signedDelegation" en el campo DNSSEC.

También puede usar una herramienta en línea como http://dnsviz.net/ o https://dnssec-analyzer.verisignlabs.com/ para validar su DNSSEC.

Cómo habilitar DNSSEC en cPanel y su registrador de dominio

DNS y DNSSEC de Google Cloud