Como ativar o DNSSEC

Domain Name System Security Extensions (DNSSEC) fornecem uma camada extra de segurança para verificar a autenticidade e a integridade de uma resposta de endereço IP. A Azion fornece compatibilidade com DNSSEC, desde que o registro do seu domínio de nível superior (TLD) suporte o recurso e sua zona esteja configurada com registros de recursos relacionados ao DNSSEC no Edge DNS.


Pré-requisitos

Antes de ativar o DNSSEC, você precisa de um Personal Token da Azion para autenticar as chamadas de API.

Para criar um Personal Token:

  1. Acesse o Azion Console.
  2. No menu lateral direito, clique em Personal Tokens.
  3. Clique no botão Add Personal Token.
  4. Defina o nome do token, o tempo de expiração e, opcionalmente, uma descrição.
  5. Clique em Create Token.
  6. Copie e salve o valor do token gerado — ele será necessário nas próximas etapas.

Ative DNSSEC via API

A ativação do DNSSEC está disponível via API da Azion:

  1. Execute a seguinte requisição GET no seu terminal, substituindo [TOKEN VALUE] pelo seu personal token para buscar seu <zone_id>:
Terminal window
curl --request GET \
--url 'https://api.azion.com/v4/workspace/dns/zones?page_size=100' \
--header 'Accept: application/json' \
--header 'Authorization: Bearer [TOKEN VALUE]'
  1. Você receberá uma resposta semelhante a esta:
{
"count": 1,
"total_pages": 1,
"page": 1,
"page_size": 100,
"next": null,
"previous": null,
"results": [
{
"domain": "seudominio.com",
"is_active": true,
"name": "Uma zona hospedada",
"id": 1234
}
]
}
  1. Copie o valor id da zona específica na qual você deseja ativar o DNSSEC. Neste exemplo, é 1234.
  2. Execute a seguinte requisição PATCH para ativar o DNSSEC na zona e iniciar a geração das chaves criptográficas. Substitua [TOKEN VALUE] pelo seu personal token e {zone_id} pelo ID coletado no passo anterior:
Terminal window
curl --request PATCH \
--url https://api.azion.com/v4/workspace/dns/zones/{zone_id}/dnssec \
--header 'Accept: application/json' \
--header 'Authorization: Bearer [TOKEN VALUE]' \
--header 'Content-Type: application/json' \
--data '{
"enabled": true
}'
  1. Você receberá uma resposta semelhante a esta:
{
"data": {
"enabled": true,
"status": "unconfigured",
"delegation_signer": null
}
}
  1. Execute a seguinte requisição GET para recuperar os valores de digest e key_tag gerados. Substitua [TOKEN VALUE] pelo seu personal token e {zone_id}. Você vai precisar deles para configurar o DNSSEC no seu Registrador de domínios.
Terminal window
curl --request GET \
--url https://api.azion.com/v4/workspace/dns/zones/{zone_id}/dnssec \
--header 'Accept: application/json' \
--header 'Authorization: Bearer [TOKEN VALUE]'
  1. Você receberá uma resposta semelhante a esta:
{
"data": {
"enabled": true,
"status": "unconfigured",
"delegation_signer": {
"algorithm_type": {
"id": 1,
"slug": "string"
},
"digest": "string",
"digest_type": {
"id": 1,
"slug": "string"
},
"key_tag": 1
}
}
}

Configure o DNSSEC no seu Registrador de domínios

Após obter os valores de digest e key_tag via API, você precisa registrá-los no seu Registrador de domínios para estabelecer a cadeia de confiança.

O exemplo abaixo utiliza o Registro.br como referência, mas o processo é similar em outros registradores.

  1. Acesse registro.br e faça login com as credenciais de administração do domínio.
  2. Na lista de domínios, clique no domínio no qual deseja ativar o DNSSEC.
  3. Expanda a seção Alterar Servidores DNS.
  4. Clique em +DNSSEC e insira os valores de key_tag e digest obtidos na etapa anterior.
  5. Clique em Salvar Alterações para aplicar as configurações.

Valide a ativação do DNSSEC

Após configurar o DNSSEC no registrador, valide a ativação utilizando os métodos abaixo.

Via comando dig

Execute o comando abaixo substituindo <domínio> pelo domínio ativado:

Terminal window
dig <domínio> +dnssec

No retorno, verifique a presença da entrada RRSIG. Sua ausência indica que o DNSSEC ainda não está ativo ou que a propagação ainda não foi concluída.

Para validar a resolução de um registro específico dentro da zona:

Terminal window
dig <registro>.<domínio> +dnssec

O retorno deve apresentar tanto o valor do registro quanto a entrada RRSIG correspondente.

Via ferramenta online

Acesse https://dnssec-analyzer.verisignlabs.com/ e insira o domínio ativado. Todas as validações devem retornar com sucesso para confirmar que a cadeia de confiança está estabelecida corretamente.


Rollback

Caso seja necessário desfazer a ativação do DNSSEC, siga os passos abaixo na ordem indicada.

1. Remova as informações no Registrador de domínios

  1. Acesse o seu Registrador de domínios (por exemplo, registro.br).
  2. Navegue até o domínio e expanda a seção Alterar Servidores DNS.
  3. Remova as informações referentes ao DNSSEC.
  4. Clique em Salvar Alterações para aplicar as configurações.

2. Desative o DNSSEC via API

Após remover as informações no registrador, desative o DNSSEC na Azion:

Terminal window
curl --request PATCH \
--url https://api.azion.com/v4/workspace/dns/zones/{zone_id}/dnssec \
--header 'Accept: application/json' \
--header 'Authorization: Bearer [TOKEN VALUE]' \
--header 'Content-Type: application/json' \
--data '{
"enabled": false
}'