Qué es DNSSEC y cómo se configura en cPanel
¿Qué es DNSSEC?
DNSSEC es un mecanismo de seguridad que añade una capa de protección adicional a los servidores DNS de un dominio.
Cuando se accede a cualquier dominio, nuestro navegador consulta las DNS del mismo que le indicará la IP hacia la que apunta el dominio, de forma que el navegador sabrá donde se aloja dicha web, este funcionamiento se basa en la confianza de que los servidores DNS nos van a facilitar siempre una información fidedigna, pero podría ocurrir en una red comprometida que se nos facilite un servidor falso y no tuviésemos constancia, provocando un robo de datos de acceso o phishing al estar tratando de conectar a un servidor que realmente no es el del dominio al que estamos conectando.
Con DNSSEC evitamos precisamente esta problemática, gracias a un conjunto de firmas digitales, cuando se tiene DNSSEC activo, el navegador hará una comprobación adicional, verificando que la firma criptográfica que facilita el registrador del dominio y la almacenada en los servidores DNS coinciden.
Configurar DNSSEC en un dominio
El proceso de configuración de DNSSEC se compone de dos fases, por un lado, generar una clave o key en nuestros servidores DNS, y por otro, configurar esta clave digital en el proveedor donde se tiene registrado el dominio.
Generación de claves y configuración en cPanel
Como primer paso accedemos al panel de control cPanel, sección Zone Editor.
Veremos un listado de dominios y justo al lado diferentes opciones, entre ellas DNSSEC, accedemos para el dominio que deseemos proteger.
En la zona superior derecha encontraremos Create Key que abrirá una ventana emergente.
Esta ventana nos permite personalizar las opciones de generación de la clave, en nuestro caso dejaremos los valores recomendados y haremos click en Crear.
Una vez creada volvemos a la página inicial de DNSSEC para el dominio, ya que necesitaremos copiar nuestra Public Keys, en nuestro caso necesitamos copiar tanto la public key de tipo KSK y ZSK.
Copiamos el valor de Public key que aparece en cada caso, y pasamos al siguiente paso para configurar nuestra clave a nivel registrador.
Es importante tener presente que estamos basando el ejemplo en dominios registrados con nosotros, si el dominio está en un proveedor externo, deberás primero ver el tipo de claves y configuración que permiten, de esa forma al generar la clave en cPanel podrás tenerlo en cuenta y personalizar la key según necesites.
Configuración en el proveedor del dominio
La configuración en el proveedor de dominios consiste en trasladar esta clave pública generada en cPanel para nuestras DNS, y añadirla a nivel registro, de esa forma ambos quedarán "emparejados" por una firma digital que no se podrá manipular o falsificar.
Para añadir esta clave en un dominio registrado con nosotros, consulta como añadir la clave DNSSEC a un dominio.
Desactivar y eliminar DNSSEC
Es importante que en caso de querer desactivar DNSSEC, no se olvide que las claves generadas en cPanel deben ser eliminadas y que en el propio registrador del dominio también se debe eliminar esta configuración, de lo contrario se podrían sufrir problemas de acceso al dominio.