Configurar DNSSEC en un dominio que usa Cloudflare
En este artículo
Cuando un dominio utiliza Cloudflare como servidor DNS, el proceso de configuración de DNSSEC es diferente al que se sigue con cPanel. Cloudflare gestiona automáticamente las claves de firma y te proporciona los datos necesarios para configurar DNSSEC en el registrador.
Paso 1: Activar DNSSEC en Cloudflare
Accede a tu cuenta de Cloudflare en dash.cloudflare.com y selecciona el dominio que deseas proteger.
En el menú lateral, dirígete a DNS y después a Settings. Localiza la sección DNSSEC y haz clic en Enable DNSSEC.
Cloudflare mostrará los datos de DNSSEC generados. Estos datos corresponden a la clave KSK (Key Signing Key):
| Campo | Valor de ejemplo |
|---|---|
| DS Record | tudominio.com. 3600 IN DS 2371 13 2 DEDAD2C78991BEC00FCE7FA6A0620F2BC9FF33969C0EE3482FBA90F76D5DEDF |
| Digest | DEDAD2C78991BEC00FCE7FA6A0620F2BC9FF33969C0EE3482FBA90F76D5DEDF |
| Digest Type | 2 (SHA256) |
| Algorithm | 13 |
| Public Key | mdsswUyr3DPW132mOi8V9xESWE8jTo0dxCjjnopK1+GqJxpVXckHAeF+KkxLbxILfDLUT0rAK9iUzy1L53eKGQ== |
| Key Tag | 2371 |
| Flags | 257 (KSK) |
Los campos Public Key y Algorithm de esta tabla son los que usarás para la sección KSK del formulario.
Paso 2: Configurar DNSSEC en el área de clientes
Accede al área de clientes, sección Dominios, y en el desplegable de opciones del dominio selecciona DNSSEC.
Completa el formulario con los datos de la Clave KSK (Key Signing Key):
- Algoritmo: Selecciona la opción que contenga (13), es decir ECDSA Curve P-256 (13)
- Clave pública: Pega el Public Key que muestra Cloudflare en su panel
El número entre paréntesis del selector de algoritmo debe coincidir con el valor Algorithm que muestra Cloudflare (en este caso, 13).
La sección Clave ZSK puedes dejarla vacía. A nivel registrador solo es necesaria la KSK para establecer la cadena de confianza DNSSEC.
Guarda los cambios y espera a que se propague la configuración.
Paso 3: Verificar la configuración
Una vez configurado, Cloudflare detectará automáticamente que la cadena de confianza está completa. En la sección DNSSEC de Cloudflare verás un mensaje confirmando que DNSSEC está activo.
También puedes verificar el estado de DNSSEC utilizando herramientas online Verisign DNSSEC Debugger.
Desactivar DNSSEC
Si necesitas desactivar DNSSEC, el proceso debe realizarse en orden inverso:
- Primero, accede al área de clientes y elimina las claves DNSSEC del dominio
- Una vez confirmada la eliminación, desactiva DNSSEC en el panel de Cloudflare
Es crítico seguir este orden. Si desactivas DNSSEC en Cloudflare antes de eliminar las claves del registrador, el dominio dejará de resolver correctamente hasta que se complete la propagación.
Preguntas frecuentes
¿Cuánto tarda en activarse DNSSEC?
La propagación puede tardar entre unas horas y 48 horas, dependiendo del TLD del dominio y los tiempos de caché de los servidores DNS.
¿Qué algoritmo usa Cloudflare?
Cloudflare utiliza el algoritmo 13 (ECDSA P-256 con SHA-256) para sus claves DNSSEC.
Mi dominio usa las DNS de hostsuar, no Cloudflare
En ese caso, consulta el artículo Qué es DNSSEC y cómo se configura en cPanel para generar las claves desde cPanel, y después cómo añadir las claves DNSSEC al dominio para configurarlas en el registrador.