Como ativar o DNSSEC
Domain Name System Security Extensions (DNSSEC) fornecem uma camada extra de segurança para verificar a autenticidade e a integridade de uma resposta de endereço IP. A Azion fornece compatibilidade com DNSSEC, desde que o registro do seu domínio de nível superior (TLD) suporte o recurso e sua zona esteja configurada com registros de recursos relacionados ao DNSSEC no Edge DNS.
Pré-requisitos
Antes de ativar o DNSSEC, você precisa de um Personal Token da Azion para autenticar as chamadas de API.
Para criar um Personal Token:
- Acesse o Azion Console.
- No menu lateral direito, clique em Personal Tokens.
- Clique no botão Add Personal Token.
- Defina o nome do token, o tempo de expiração e, opcionalmente, uma descrição.
- Clique em Create Token.
- Copie e salve o valor do token gerado — ele será necessário nas próximas etapas.
Ative DNSSEC via API
A ativação do DNSSEC está disponível via API da Azion:
- Execute a seguinte requisição
GETno seu terminal, substituindo[TOKEN VALUE]pelo seu personal token para buscar seu<zone_id>:
curl --request GET \ --url 'https://api.azion.com/v4/workspace/dns/zones?page_size=100' \ --header 'Accept: application/json' \ --header 'Authorization: Bearer [TOKEN VALUE]'- Você receberá uma resposta semelhante a esta:
{ "count": 1, "total_pages": 1, "page": 1, "page_size": 100, "next": null, "previous": null, "results": [ { "domain": "seudominio.com", "is_active": true, "name": "Uma zona hospedada", "id": 1234 } ]}- Copie o valor
idda zona específica na qual você deseja ativar o DNSSEC. Neste exemplo, é1234. - Execute a seguinte requisição
PATCHpara ativar o DNSSEC na zona e iniciar a geração das chaves criptográficas. Substitua[TOKEN VALUE]pelo seu personal token e{zone_id}pelo ID coletado no passo anterior:
curl --request PATCH \ --url https://api.azion.com/v4/workspace/dns/zones/{zone_id}/dnssec \ --header 'Accept: application/json' \ --header 'Authorization: Bearer [TOKEN VALUE]' \ --header 'Content-Type: application/json' \ --data '{ "enabled": true}'- Você receberá uma resposta semelhante a esta:
{ "data": { "enabled": true, "status": "unconfigured", "delegation_signer": null }}- Execute a seguinte requisição
GETpara recuperar os valores dedigestekey_taggerados. Substitua[TOKEN VALUE]pelo seu personal token e{zone_id}. Você vai precisar deles para configurar o DNSSEC no seu Registrador de domínios.
curl --request GET \ --url https://api.azion.com/v4/workspace/dns/zones/{zone_id}/dnssec \ --header 'Accept: application/json' \ --header 'Authorization: Bearer [TOKEN VALUE]'- Você receberá uma resposta semelhante a esta:
{ "data": { "enabled": true, "status": "unconfigured", "delegation_signer": { "algorithm_type": { "id": 1, "slug": "string" }, "digest": "string", "digest_type": { "id": 1, "slug": "string" }, "key_tag": 1 } }}Configure o DNSSEC no seu Registrador de domínios
Após obter os valores de digest e key_tag via API, você precisa registrá-los no seu Registrador de domínios para estabelecer a cadeia de confiança.
O exemplo abaixo utiliza o Registro.br como referência, mas o processo é similar em outros registradores.
- Acesse registro.br e faça login com as credenciais de administração do domínio.
- Na lista de domínios, clique no domínio no qual deseja ativar o DNSSEC.
- Expanda a seção Alterar Servidores DNS.
- Clique em +DNSSEC e insira os valores de
key_tagedigestobtidos na etapa anterior. - Clique em Salvar Alterações para aplicar as configurações.
Valide a ativação do DNSSEC
Após configurar o DNSSEC no registrador, valide a ativação utilizando os métodos abaixo.
Via comando dig
Execute o comando abaixo substituindo <domínio> pelo domínio ativado:
dig <domínio> +dnssecNo retorno, verifique a presença da entrada RRSIG. Sua ausência indica que o DNSSEC ainda não está ativo ou que a propagação ainda não foi concluída.
Para validar a resolução de um registro específico dentro da zona:
dig <registro>.<domínio> +dnssecO retorno deve apresentar tanto o valor do registro quanto a entrada RRSIG correspondente.
Via ferramenta online
Acesse https://dnssec-analyzer.verisignlabs.com/ e insira o domínio ativado. Todas as validações devem retornar com sucesso para confirmar que a cadeia de confiança está estabelecida corretamente.
Rollback
Caso seja necessário desfazer a ativação do DNSSEC, siga os passos abaixo na ordem indicada.
1. Remova as informações no Registrador de domínios
- Acesse o seu Registrador de domínios (por exemplo, registro.br).
- Navegue até o domínio e expanda a seção Alterar Servidores DNS.
- Remova as informações referentes ao DNSSEC.
- Clique em Salvar Alterações para aplicar as configurações.
2. Desative o DNSSEC via API
Após remover as informações no registrador, desative o DNSSEC na Azion:
curl --request PATCH \ --url https://api.azion.com/v4/workspace/dns/zones/{zone_id}/dnssec \ --header 'Accept: application/json' \ --header 'Authorization: Bearer [TOKEN VALUE]' \ --header 'Content-Type: application/json' \ --data '{ "enabled": false}'