Defaults.Exposed › Configuración › DNSSEC

Cómo configurar DNSSEC en Namecheap

Activa DNSSEC en Namecheap para que nadie pueda falsificar tus respuestas DNS y redirigir a tus visitantes o tu correo.

Por qué le importa a tu negocio

Cada vez que alguien abre tu sitio web o te escribe un correo, su ordenador pregunta al sistema DNS dónde encontrarte. Esas respuestas suelen viajar sin firmar, así que un atacante capaz de interferir en la consulta puede enviar en silencio a tus visitantes a un sitio falsificado o redirigir tu correo a su propio servidor, todo ello mientras tu dominio auténtico sigue apareciendo en la barra de direcciones.

DNSSEC (Extensiones de Seguridad del DNS) cierra esa puerta. Firma criptográficamente tus respuestas DNS, de modo que cualquiera que te consulte puede confirmar que la respuesta vino realmente de ti y no se manipuló por el camino. En palabras llanas: previene el secuestro de dominios y el envenenamiento de caché, los ataques que convierten tu propio dominio en un arma contra tus clientes. Es gratis, y cuando Namecheap gestiona tu DNS es casi un solo clic.

Cómo funciona DNSSEC (y por qué con Namecheap puede ser sencillo)

DNSSEC tiene dos mitades: el proveedor de DNS firma tus registros y publica las claves (un DNSKEY) más una pequeña huella llamada registro DS, y el registrador deposita ese registro DS en la zona superior para que el resto de internet confíe en las firmas.

Cuando Namecheap es a la vez tu registrador y tu proveedor de DNS —es decir, tu dominio usa Namecheap BasicDNS / PremiumDNS—, Namecheap se encarga de ambas mitades con un único interruptor. Firma la zona y publica el registro DS arriba en la cadena por ti. Cuando tu DNS está alojado en otro sitio, en cambio, copias el registro DS de ese proveedor en Namecheap a mano.

El riesgo real: hazlo en orden

DNSSEC puede dejar tu dominio fuera de línea si se configura mal. Las dos formas en que ocurre:

• Un registro DS depositado en el registrador que no coincide con lo que el proveedor de DNS está firmando realmente.
• Mover tu DNS a otro proveedor (o desactivar la firma) sin retirar antes el registro DS: el registro DS obsoleto sigue exigiendo firmas que ya no existen, y las consultas fallan.

Por tanto: si alguna vez trasladas el DNS fuera de Namecheap, o fuera de los servidores de nombres de Namecheap, desactiva DNSSEC y borra el registro DS primero, y luego muévelo. Sigue el flujo de abajo en orden y estarás a salvo.

Confirma que Namecheap gestiona tu DNS

Comprueba qué responde al DNS de tu dominio. En tu cuenta de Namecheap, abre el dominio y mira el ajuste de Nameservers en la pestaña Domain:

• Si está configurado como Namecheap BasicDNS o Namecheap Web Hosting DNS / PremiumDNS, Namecheap aloja tu DNS: usa el flujo de un clic.
• Si muestra Custom DNS apuntando a otro proveedor, ese proveedor aloja tu DNS: activa DNSSEC allí primero y luego añade en Namecheap el registro DS que te dé.

Paso a paso en Namecheap (Namecheap es registrador y proveedor de DNS)

1. Inicia sesión en Namecheap.
2. Ve a la Domain List y haz clic en Manage junto a tu dominio.
3. Abre la pestaña Advanced DNS.
4. Desplázate hasta la sección DNSSEC.
5. Activa DNSSEC.
6. Confirma. Con el DNS propio de Namecheap, Namecheap firma la zona y publica el registro DS arriba en la cadena por ti; no hay nada que copiar en otro sitio.

Paso a paso cuando tu DNS está alojado en otro sitio

Si Namecheap es tu registrador pero otra empresa aloja tu DNS:

1. Activa primero DNSSEC en tu proveedor de DNS y copia los valores del registro DS que produce, normalmente Key Tag, Algorithm, Digest Type y el Digest.
2. En Namecheap, abre el dominio y ve a la pestaña Advanced DNS y luego a la sección DNSSEC.
3. Añade un registro DS e introduce los valores de tu proveedor de DNS exactamente en los campos correspondientes.
4. Guarda. El registro DS queda ahora depositado en la zona superior, completando la cadena de confianza.

Detalles de Namecheap que la gente falla

• El interruptor solo lo hace todo cuando Namecheap también aloja tu DNS. Con Custom DNS, accionarlo solo no basta: tienes que pegar el registro DS de tu proveedor de DNS real.
• No firmes por duplicado. Si tu proveedor de DNS externo ya firma la zona, en Namecheap solo introduces su registro DS; no actives también la firma propia de Namecheap.
• Copia los valores DS carácter por carácter. Un solo dígito equivocado en el Digest significa que el DS no coincidirá con las firmas, que es exactamente lo que deja un dominio fuera de línea. Pega, nunca lo reescribas a mano.
• Haz coincidir los números de algoritmo y tipo de digest con lo que indique tu proveedor de DNS; no lo adivines.
• Desactiva DNSSEC antes de cambiar los servidores de nombres. Cambiar de proveedor de DNS con un registro DS obsoleto todavía presente es la forma clásica de tumbar un dominio.
• Dale tiempo. Los cambios pueden tardar desde unos minutos hasta un día en propagarse del todo.

Comprueba que funcionó

Una vez activado DNSSEC (y con cualquier registro DS en su sitio), ejecuta la comprobación gratuita de este sitio. Te dirá en lenguaje claro si DNSSEC está correctamente publicado y se confía en él para tu dominio.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.