Defaults.Exposed › Configuración › DNSSEC

Cómo configurar DNSSEC en GoDaddy

Activa DNSSEC en GoDaddy con un solo interruptor para que nadie pueda falsificar tus respuestas DNS ni secuestrar tu dominio.

Por qué le importa a tu negocio

Cuando alguien visita tu sitio web o te envía un correo, su ordenador pregunta primero al sistema DNS por la dirección correcta. Esas respuestas viajan normalmente sin firmar, así que un atacante capaz de manipular la consulta puede enviar discretamente a tus visitantes a un sitio falso o redirigir tu correo a su propio servidor, mientras tu dominio real sigue apareciendo en la barra de direcciones.

DNSSEC (Extensiones de Seguridad del DNS) lo impide. Firma criptográficamente tus respuestas DNS, de modo que cualquiera que te consulte puede demostrar que la respuesta vino realmente de ti y no se alteró por el camino. En palabras llanas: bloquea el secuestro de dominios y el envenenamiento de caché, los ataques que vuelven tu propio dominio contra tus clientes. Es gratis, y en GoDaddy suele ser un único interruptor.

Cómo funciona DNSSEC (y por qué aquí GoDaddy lo pone fácil)

DNSSEC tiene dos mitades: el proveedor de DNS firma tus registros y publica las claves (un DNSKEY) más una pequeña huella llamada registro DS, y el registrador deposita ese registro DS en la zona superior para que el resto de internet pueda confiar en las firmas.

Cuando GoDaddy es a la vez tu registrador y tu proveedor de DNS —como ocurre con la mayoría de los dominios de GoDaddy que usan servidores de nombres de GoDaddy—, GoDaddy hace ambas mitades por ti. Tú accionas un único interruptor; GoDaddy genera las claves y deposita el registro DS arriba en la cadena automáticamente. No hay que copiar valores entre sistemas.

El riesgo real: cuándo no es tan sencillo

DNSSEC puede dejar tu dominio fuera de línea si se configura mal. El peligro surge sobre todo cuando el registrador y el proveedor de DNS son empresas distintas, o cuando cambias de proveedor de DNS:

• Si tu dominio está registrado en GoDaddy pero tu DNS está alojado en otro sitio, el interruptor de un clic de GoDaddy no aplica: tienes que activar la firma en tu proveedor de DNS real y añadir el registro DS en GoDaddy a mano.
• Si alguna vez trasladas tu DNS fuera de GoDaddy, desactiva DNSSEC primero. Un registro DS sobrante que ya no coincide con ningún proveedor de firma activo hará que las consultas fallen y el dominio quede a oscuras.

Si GoDaddy es a la vez registrador y proveedor de DNS, el flujo de un clic de abajo es seguro.

Confirma que GoDaddy gestiona tu DNS

Esto solo importa si GoDaddy responde realmente al DNS de tu dominio. Comprueba que tu dominio usa servidores de nombres de GoDaddy: en tu cuenta de GoDaddy, abre el dominio y mira su ajuste de Servidores de nombres. Si muestra los propios de GoDaddy, el interruptor de un clic es el camino correcto. Si los servidores de nombres apuntan a otro proveedor (por ejemplo, un proveedor de DNS aparte), activa DNSSEC en ese proveedor y luego añade en GoDaddy el registro DS que te dé.

Paso a paso en GoDaddy (un clic, GoDaddy es registrador y proveedor de DNS)

1. Inicia sesión en tu cuenta de GoDaddy.
2. Ve a Mis productos (o Portafolio de dominios).
3. Localiza tu dominio y abre su página de gestión: haz clic en el nombre del dominio o en el menú de tres puntos y elige Administrar DNS / Configuración del dominio.
4. Desplázate hasta la sección Configuración adicional (en algunas cuentas aparece bajo Administración de DNS).
5. Busca DNSSEC y haz clic en Administrar o en el interruptor.
6. Activa DNSSEC.
7. Confirma. GoDaddy genera las claves, firma tu zona y publica el registro DS arriba en la cadena por ti; no hay nada que copiar en otro sitio.

Paso a paso cuando tu DNS está alojado en otro sitio

Si GoDaddy es solo tu registrador y otra empresa aloja tu DNS:

1. Activa primero DNSSEC en tu proveedor de DNS y copia el registro DS que produce (necesitarás Key Tag, Algorithm, Digest Type y el Digest).
2. En GoDaddy, abre el dominio y busca la sección DNSSEC en Configuración adicional.
3. Elige añadir un registro DS e introduce los valores de tu proveedor de DNS exactamente.
4. Guarda. El registro DS queda ahora depositado en la zona superior, completando la cadena.

Detalles de GoDaddy que la gente falla

• Comprueba primero quién aloja tu DNS. El interruptor sencillo de un clic solo hace todo el trabajo cuando GoDaddy es a la vez registrador y proveedor de DNS. Si el DNS está en otro sitio, el interruptor por sí solo no basta.
• No lo actives en dos sitios. Si tu proveedor de DNS ya firma la zona, en GoDaddy solo añades su registro DS; no acciones también el interruptor de firma propio de GoDaddy, o tendrás dos configuraciones que compiten.
• Copia los valores DS exactamente cuando los introduzcas a mano. Un solo carácter equivocado en el Digest rompe la cadena y puede dejar el dominio fuera de línea.
• Desactiva DNSSEC antes de mover el DNS. Migrar a un nuevo proveedor de DNS con un registro DS obsoleto todavía presente es la forma clásica de tumbar un dominio.
• Dale tiempo. Los cambios pueden tardar desde unos minutos hasta un día en propagarse del todo.

Comprueba que funcionó

Una vez activado DNSSEC (y con cualquier registro DS en su sitio), ejecuta la comprobación gratuita de este sitio. Te dirá en lenguaje claro si DNSSEC está correctamente publicado y se confía en él para tu dominio.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.