Descripción general
DNSSEC (DNS Security Extensions) añade una capa de protección criptográfica a los registros DNS de su dominio. Utiliza firmas digitales y claves criptográficas para validar la autenticidad de las respuestas DNS, ayudando a proteger a los visitantes contra ataques de suplantación de DNS y envenenamiento de caché.
Cuando DNSSEC está habilitado, el registro DNSKEY del servidor DNS se compara con el registro DS (Delegation Signer) almacenado en el registrador del dominio. Si las firmas coinciden, la respuesta se verifica como legítima.
Requisitos
- Su servidor debe usar PowerDNS como servidor de nombres. DNSSEC no está disponible con BIND u otros servidores de nombres en cPanel.
- Necesita acceso a WHM (root) para habilitar la función para las cuentas de cPanel.
- Su registrador de dominios debe soportar la gestión de registros DS.
Paso 1 — Habilitar la función DNSSEC en WHM
Antes de que los usuarios de cPanel puedan administrar claves DNSSEC, el administrador del servidor debe habilitar la función:
- Inicie sesión en WHM.
- Navegue a Home » Packages » Feature Manager.
- Seleccione o cree la lista de características asignada a la cuenta de cPanel.
- Marque la opción Manage DNSSEC y guarde los cambios.
Para verificar qué dominios ya tienen DNSSEC activo, ejecute:
pdnsutil list-secure-zonesPaso 2 — Crear claves DNSSEC en cPanel
Una vez habilitada la función, el usuario de cPanel puede administrar las claves DNSSEC:
- Inicie sesión en cPanel.
- Vaya a Home » Domains » Zone Editor.
- Haga clic en DNSSEC junto al dominio deseado.
- Haga clic en Create Key para generar un nuevo par de claves DNSSEC.
Después de crear la clave, cPanel mostrará la información del registro DS que debe agregarse en su registrador de dominios.
Paso 3 — Agregar el registro DS en su registrador
Copie los detalles del registro DS proporcionados por cPanel y agréguelos en su registrador de dominios:
- Key Tag (Etiqueta de clave)
- Algorithm (Algoritmo)
- Digest Type (Tipo de resumen)
- Digest (Resumen)
Los pasos exactos varían según el registrador. Consulte la documentación de su registrador para las instrucciones sobre cómo agregar registros DS.
Validar la configuración
Después de agregar el registro DS en su registrador, puede validar la configuración de DNSSEC usando el Analizador DNSSEC de Verisign. Ingrese su nombre de dominio para verificar que la cadena de confianza esté correctamente establecida.
Rotación de claves
Se recomienda rotar las claves DNSSEC al menos una vez al año para mantener la seguridad. El proceso de rotación implica:
- Crear una nueva clave en el Zone Editor de cPanel.
- Agregar el nuevo registro DS en su registrador.
- Esperar la propagación (generalmente 24–48 horas).
- Eliminar el registro DS antiguo del registrador.
- Eliminar la clave antigua en cPanel.
Importante: Nunca elimine el registro DS antiguo antes de que el nuevo se haya propagado completamente, ya que esto podría causar fallos en la validación DNSSEC.
Deshabilitar DNSSEC
Para deshabilitar DNSSEC en un dominio:
- Primero, elimine el registro DS de su registrador de dominios.
- Luego, elimine las claves DNSSEC en el Zone Editor de cPanel.
Advertencia: Siempre elimine el registro DS en el registrador antes de eliminar las claves en el servidor. Si el registrador aún tiene un registro DS pero el servidor ya no tiene las claves correspondientes, la resolución DNS fallará para los resolvers que validan DNSSEC.
Consideraciones para clústeres DNS
Si su servidor es parte de un clúster DNS, todos los servidores del clúster deben ejecutar PowerDNS cuando existan dominios con DNSSEC habilitado. cPanel notificará a los administradores sobre fallos de sincronización a través del Contact Manager de WHM.
Respaldo y restauración
cPanel respalda automáticamente las claves DNSSEC en el directorio /dnssec_keys con el formato de nombre:
domainname/keytag_keytype.keyDurante transferencias de cuentas o restauraciones completas, las claves DNSSEC se transfieren automáticamente si el servidor de destino soporta DNSSEC (es decir, utiliza PowerDNS).