Defaults.Exposed › Configuración › DNSSEC

Cómo configurar DNSSEC en Cloudflare

Activa DNSSEC en Cloudflare y añade el registro DS en tu registrador para que nadie pueda falsificar tus respuestas DNS.

Por qué le importa a tu negocio

Cuando alguien escribe tu dominio o te envía un correo, su ordenador pregunta al sistema DNS por la dirección correcta. Normalmente esas respuestas viajan sin firmar, lo que significa que un atacante capaz de manipularlas puede dirigir discretamente a tus visitantes a un sitio web falso o redirigir tu correo a su propio servidor. Tus clientes ven tu dominio real en la barra de direcciones todo el tiempo.

DNSSEC (Extensiones de Seguridad del DNS) cierra esa brecha. Firma criptográficamente tus respuestas DNS, de modo que quien te consulte puede probar que la respuesta vino realmente de ti y no se alteró por el camino. En palabras llanas: impide que los delincuentes secuestren tu dominio o envenenen las consultas que dirigen a la gente hacia ti. Es gratis, y es una de las protecciones más fuertes que puedes activar para los cimientos sobre los que se asienta todo lo demás.

Cómo funciona DNSSEC en realidad (para que los pasos tengan sentido)

DNSSEC tiene dos mitades que viven en dos sitios:

• Tu proveedor de DNS (Cloudflare) firma tus registros y publica las claves públicas (un DNSKEY) más una pequeña huella de ellas llamada registro DS.
• Tu registrador (donde compraste y renuevas el dominio) publica ese registro DS arriba, en la zona superior (por ejemplo, .com).

El registro DS en el registrador es el eslabón de la cadena de confianza. Cloudflare puede firmar todo el día, pero hasta que el registro DS correspondiente se deposita en tu registrador, internet en general no tiene una forma firmada de confiar en esas firmas. Así que el trabajo son dos pasos: actívalo en Cloudflare y luego entrega el registro DS a tu registrador.

El riesgo real: hazlo con cuidado

DNSSEC puede dejar todo tu dominio fuera de línea si se hace mal. Las dos formas en que ocurre:

• Publicar en el registrador un registro DS que no coincida con lo que tu proveedor de DNS está firmando realmente.
• Mover tu DNS a otro proveedor (o desactivar Cloudflare) sin retirar antes el registro DS en el registrador: el viejo registro DS sigue exigiendo firmas que ya no existen, y las consultas empiezan a fallar.

Ninguna de las dos es peligrosa si sigues el flujo de abajo en orden y nunca borras el registro DS en el registrador mientras Cloudflare siga siendo tu proveedor de firma. Si alguna vez planeas alejarte de Cloudflare, desactiva DNSSEC y retira el registro DS en el registrador primero, y luego muévelo.

Confirma que Cloudflare gestiona tu DNS

Esto solo funciona si Cloudflare responde al DNS de tu dominio. Cloudflare es tu proveedor de DNS, no necesariamente la empresa a la que compraste el dominio. El DNS de Cloudflare solo está activo cuando los servidores de nombres de tu dominio apuntan a los servidores de nombres de Cloudflare que aparecen en tu panel. Abre tu dominio en Cloudflare y revisa la página Overview (Resumen) para confirmar que Cloudflare está activo. Si tus servidores de nombres apuntan a otro sitio, activa DNSSEC en el proveedor que realmente gestione tu DNS.

Paso a paso en Cloudflare

1. Inicia sesión en Cloudflare y selecciona tu dominio.
2. En el menú de la izquierda, ve a DNS y luego a Settings (los paneles más antiguos muestran una sección DNSSEC directamente bajo DNS).
3. Busca DNSSEC y haz clic en Enable DNSSEC (Activar DNSSEC).
4. Cloudflare mostrará un panel de valores; el importante es el registro DS. Normalmente verás campos como Key Tag, Algorithm, Digest Type, Digest y un registro DS ya preparado en una sola línea. Deja este panel abierto; necesitas copiar estos datos a tu registrador.
5. Ahora inicia sesión en tu registrador (la empresa con la que renuevas el dominio; puede que sea Cloudflare o puede que no).
6. Localiza la sección de DNSSEC o de registro DS para tu dominio en el registrador y añade un nuevo registro DS usando los valores exactos que te dio Cloudflare:
   • Key Tag: el número que muestra Cloudflare.
   • Algorithm: normalmente 13 (ECDSA P-256 SHA-256).
   • Digest Type: normalmente 2 (SHA-256).
   • Digest: la larga cadena hexadecimal, copiada exactamente.
7. Guarda en el registrador. Si tu registrador te permite pegar una única línea de registro DS combinada en lugar de campos separados, usa la línea DS completa que mostró Cloudflare.
8. De vuelta en Cloudflare, una vez que el registrador haya aceptado el registro DS, el estado de DNSSEC de Cloudflare pasará a active (esto puede tardar un poco en confirmarse).

Detalles de Cloudflare que la gente falla

• Dos sistemas, no uno. Activar DNSSEC solo en Cloudflare no hace nada por sí mismo: el registro DS también debe depositarse en tu registrador. La gente se detiene tras el paso 3 y se pregunta por qué nunca se activa.
• Copia el digest exactamente. Un solo carácter equivocado o ausente en el Digest significa que el registro DS del registrador no coincidirá con las firmas de Cloudflare, que es exactamente la mala configuración que deja un dominio fuera de línea. Copia y pega; nunca lo reescribas a mano.
• Haz coincidir los números de algoritmo y tipo de digest. Si tu registrador los pide por separado, usa los valores que muestra Cloudflare; no los adivines.
• Si Cloudflare es también tu registrador, el paso del DS se gestiona internamente y puede que no veas un formulario de registrador aparte, pero confirma que DNSSEC aparece como activo antes de darlo por hecho.
• Nunca retires el registro DS mientras Cloudflare siga firmando. Y si alguna vez migras el DNS fuera de Cloudflare, desactiva DNSSEC y borra el registro DS en el registrador antes del traslado.
• Dale tiempo. Los cambios de DNSSEC pueden tardar desde unos minutos hasta un día en propagarse del todo y aparecer como activos.

Comprueba que funcionó

Una vez que DNSSEC aparezca como activo en Cloudflare y el registro DS esté en su sitio en tu registrador, ejecuta la comprobación gratuita de este sitio. Te dirá en lenguaje claro si DNSSEC está correctamente publicado y se confía en él para tu dominio.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.