DNSSEC | Documentación de cPanel y WHM

DNSSEC


Última modificación: 17 de septiembre de 2021

Visión general

En cPanel & WHM versión 84, presentamos el soporte de Extensiones de seguridad DNS (DNSSEC) para servidores de nombres PowerDNS. DNSSEC agrega una capa de seguridad a los registros DNS de sus dominios.

Un solucionador de DNS comparará el registro DNSKEY del servidor DNS con el registro DS del registrador. Si coinciden, el sistema de resolución de DNS sabe que el registro es válido.

DNSSEC utiliza firmas digitales y claves criptográficas para validar la autenticidad de las respuestas DNS. Estas firmas digitales protegen a los clientes de diversas formas de ataque, como la suplantación de identidad o un ataque de intermediario.

Importante:

Para utilizar DNSSEC en su servidor, debe utilice PowerDNS como servidor de nombres. Para obtener más información sobre cómo instalar PowerDNS en su servidor, lea nuestra Selección del servidor de nombres documentación.

Para obtener más información sobre DNSSEC, lea Wikipedia Extensiones de seguridad del sistema de nombres de dominio artículo.

Habilitar DNSSEC

Para habilitar DNSSEC para usuarios de cPanel, seleccione el Administrar DNSSEC característica en WHM’s Administrador de funciones interfaz (WHM >> Inicio >> Paquetes >> Administrador de funciones).

Para enumerar los dominios con DNSSEC en un servidor, inicie sesión en el servidor como root usuario y ejecute el siguiente comando:

pdnsutil list-secure-zones

Para obtener más información, lea nuestro Cómo enumerar dominios con DNSSEC documentación.

Administrar claves DNSSEC

Los usuarios de cPanel pueden crear, administrar o eliminar las claves DNSSEC de sus dominios en las Editor de zona interfaz (cPanel >> Inicio >> Dominios >> Editor de zona).

Para validar la configuración de DNSSEC para un dominio, use Verisign’s DNSSEC Anaylzer sitio web.

Rotación de claves DNSSEC

Nota:

Le recomendamos que rote las claves DNSSEC de su dominio anualmente.

Puede rotar las claves DNSSEC de sus dominios con regularidad para aumentar la seguridad de su registro DNS.

Para obtener más información sobre cómo rotar una clave DNSSEC, lea nuestro Cómo rotar una clave DNSSEC documentación.

Para determinar el registrador de su dominio, lea nuestro Cómo identificar a su registrador documentación.

Desactivar DNSSEC

Para deshabilitar DNSSEC, elimine el registro DS del registrador. Sin un registro DNS en el registrador, los clientes no busque las claves DNSSEC en el servidor DNS.

DNSSEC en clústeres de DNS

Advertencia:

Todos los servidores del clúster de DNS debe ejecute PowerDNS si existen dominios que usan DNSSEC en ese clúster.

cPanel & WHM admite DNSSEC en clústeres de DNS. Los servidores PowerDNS con dominios que tienen DNSSEC configurados pueden existir en clústeres DNS. Puede habilitar la agrupación en clústeres de DNS en WHM Clúster de DNS interfaz (WHM >> Inicio >> Clústeres >> Clúster DNS).

Si sus claves DNSSEC no se sincronizan, el sistema le envía una notificación a través del Error de sincronización de la clave DNSSEC notificación en WHM’s Gerente de contacto interfaz (WHM >> Inicio >> Contactos del servidor >> Administrador de contactos). Para sincronizar o eliminar claves DNSSEC, ejecute los /usr/local/cpanel/scripts/dnssec-cluster-keys texto como el root usuario.

Para obtener más información sobre DNSSEC en un clúster de DNS, lea nuestro Guía de configuraciones de clústeres de DNS documentación.

Copias de seguridad de claves DNSSEC

El sistema realiza una copia de seguridad de la información de la clave DNSSEC en el /dnssec_keys directorio. Este directorio contiene una copia de todas las claves DNSSEC de la cuenta utilizando las siguientes convenciones de nomenclatura:

domainname/keytag_keytype.key

Nota:

En este ejemplo:

  • domainname representa el nombre de dominio.

  • keytag representa la etiqueta de la llave.

  • keytype representa el tipo de clave.

Para obtener más información sobre dónde cPanel & WHM almacena la información de la clave DNSSEC en las copias de seguridad, lea nuestro Copia de seguridad del contenido de Tarball documentación.

Nota:

  • El sistema puede dañar la base de datos DNSSEC si encuentra una condición de memoria insuficiente (OOM) o disco lleno.

  • Los administradores de sistemas pueden restaurar la base de datos a partir de los archivos de respaldo del sistema. Si no hacen una copia de seguridad de los archivos del sistema, deberán realizar los siguientes pasos:

    • Reconstruya el archivo PDNS.db desde cero con los siguientes comandos:

    • Regenere las claves DNSSEC para cada dominio que perdió claves.

    • Dígales a sus usuarios que registren las nuevas claves con su registrador de dominios.

Restauración de la clave DNSSEC

Cuando restaura una copia de seguridad que contiene claves DNSSEC, el sistema restaurará las claves DNSSEC al dominio apropiado.

Transferencias de claves DNSSEC

El sistema transfiere cualquier información de la clave DNSSEC del archivo de respaldo al nuevo servidor. Si el servidor de destino admite DNSSEC, el servidor importará y activará cualquier clave DNSSEC en la copia de seguridad. Si el servidor de destino no es compatible con DNSSEC, ese sistema no restaure las claves DNSSEC del archivo de respaldo.

Para transferir una cuenta con dominios habilitados para DNSSEC, use WHM Herramienta de transferencia interfaz (WHM >> Inicio >> Transferencias >> Herramienta de transferencia). Si el servidor es parte de un clúster de DNS, las claves se sincronizarán con el clúster de DNS durante la transferencia.

Para obtener más información sobre la transferencia de claves DNSSEC, lea nuestro Editor de zona documentación.

Funciones API

Funciones UAPI

Los desarrolladores pueden utilizar las siguientes funciones de UAPI relacionadas con DNSSEC para recuperar información o realizar acciones:

Funciones de WHM API 1

En cPanel & WHM versión 86, presentamos las siguientes funciones de la API 1 de WHM relacionadas con DNSSEC. Los desarrolladores pueden utilizar estas funciones para recuperar información o realizar acciones:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *