Defaults.Exposed › Configuração › DNSSEC

Como configurar o DNSSEC na Cloudflare

Ative o DNSSEC na Cloudflare e adicione o registo DS no seu registador para que ninguém possa falsificar as suas respostas de DNS.

Porque é que isto importa para o seu negócio

Quando alguém escreve o seu domínio ou lhe envia um email, o computador pergunta ao sistema de DNS qual o endereço certo. Normalmente essas respostas viajam sem assinatura, o que significa que um atacante capaz de as adulterar pode, em silêncio, apontar os seus visitantes para um site falso ou redirecionar o seu email para o servidor dele. Os seus clientes veem o seu domínio verdadeiro na barra de endereços o tempo todo.

O DNSSEC fecha essa falha. Assina criptograficamente as suas respostas de DNS, para que quem o consulta possa provar que a resposta veio mesmo de si e não foi alterada pelo caminho. Em termos simples: impede os criminosos de sequestrar o seu domínio ou de envenenar as consultas que encaminham as pessoas até si. É gratuito e é uma das proteções mais fortes que pode ativar para a fundação sobre a qual tudo o resto assenta.

Como funciona o DNSSEC na prática (para os passos fazerem sentido)

O DNSSEC tem duas metades que vivem em dois sítios:

• O seu fornecedor de DNS (Cloudflare) assina os seus registos e publica as chaves públicas (uma DNSKEY) mais uma pequena impressão digital delas chamada registo DS (DS, Delegation Signer).
• O seu registador (onde comprou e renova o domínio) publica esse registo DS na zona-pai (por exemplo .com).

O registo DS no registador é o elo da cadeia de confiança. A Cloudflare pode assinar o dia inteiro, mas, enquanto o registo DS correspondente não estiver depositado no seu registador, a internet em geral não tem forma assinada de confiar nessas assinaturas. Por isso o trabalho tem dois passos: ativá-lo na Cloudflare e depois entregar o registo DS ao seu registador.

O risco real — faça isto com cuidado

O DNSSEC pode deixar o seu domínio inteiro offline se for mal feito. As duas formas de isso acontecer:

• Publicar no registador um registo DS que não corresponde àquilo com que o seu fornecedor de DNS está efetivamente a assinar.
• Mudar o seu DNS para outro fornecedor (ou desligar a Cloudflare) sem remover primeiro o registo DS no registador — o registo DS antigo continua a exigir assinaturas que já não existem, e as consultas começam a falhar.

Nenhuma delas é perigosa se seguir o fluxo abaixo por ordem e nunca apagar o registo DS no registador enquanto a Cloudflare ainda for o seu fornecedor de assinatura. Se algum dia planear sair da Cloudflare, desative o DNSSEC e remova o registo DS no registador primeiro, depois mude.

Confirme que é a Cloudflare que gere o seu DNS

Isto só funciona se for a Cloudflare a responder ao DNS do seu domínio. A Cloudflare é o seu fornecedor de DNS, não necessariamente a empresa onde comprou o domínio. O DNS da Cloudflare só fica ativo quando os servidores de nomes (nameservers) do seu domínio apontam para os servidores de nomes da Cloudflare indicados no seu painel. Abra o seu domínio na Cloudflare e verifique a página Overview para confirmar que a Cloudflare está ativa. Se os seus servidores de nomes apontarem para outro lado, ative o DNSSEC no fornecedor que efetivamente gere o seu DNS.

Passo a passo na Cloudflare

1. Inicie sessão na Cloudflare e selecione o seu domínio.
2. No menu da esquerda, vá a DNS e depois a Settings (painéis mais antigos mostram uma secção DNSSEC diretamente em DNS).
3. Localize DNSSEC e clique em Enable DNSSEC.
4. A Cloudflare mostrará um painel de valores — o importante é o registo DS. Verá normalmente campos como Key Tag, Algorithm, Digest Type, Digest e um registo DS completo já pronto numa só linha. Deixe este painel aberto; vai precisar de copiar estes valores para o seu registador.
5. Agora inicie sessão no seu registador (a empresa com quem renova o domínio — pode ser ou não a Cloudflare).
6. Localize a secção de DNSSEC ou de registo DS do seu domínio no registador e adicione um novo registo DS com os valores exatos que a Cloudflare lhe deu:
   • Key Tag — o número que a Cloudflare mostra.
   • Algorithm — normalmente 13 (ECDSA P-256 SHA-256).
   • Digest Type — normalmente 2 (SHA-256).
   • Digest — a longa cadeia hexadecimal, copiada exatamente.
7. Guarde no registador. Se o seu registador permitir colar uma única linha de registo DS combinada em vez de campos separados, use a linha DS completa que a Cloudflare mostrou.
8. De volta à Cloudflare, assim que o registador tiver aceitado o registo DS, o estado do DNSSEC da Cloudflare passará a active (isto pode demorar algum tempo a confirmar).

Erros que as pessoas cometem na Cloudflare

• São dois sistemas, não um. Ativar o DNSSEC só na Cloudflare não faz nada por si só — o registo DS tem também de ser depositado no seu registador. As pessoas param no passo 3 e perguntam-se porque é que nunca fica ativo.
• Copie o digest exatamente. Um único carácter errado ou em falta no Digest significa que o registo DS do registador não corresponderá às assinaturas da Cloudflare, que é exatamente a má configuração que deixa um domínio offline. Copie e cole; nunca volte a escrever à mão.
• Faça corresponder os números do algoritmo e do tipo de digest. Se o seu registador os pedir em separado, use os valores que a Cloudflare mostra — não adivinhe.
• Se a Cloudflare for também o seu registador, o passo do DS é tratado internamente e poderá não ver um formulário de registador separado — mas confirme que o DNSSEC aparece como ativo antes de o dar por concluído.
• Nunca remova o registo DS enquanto a Cloudflare ainda estiver a assinar. E se algum dia migrar o DNS para fora da Cloudflare, desative o DNSSEC e limpe o registo DS no registador antes da mudança.
• Dê-lhe tempo. As alterações de DNSSEC podem demorar de alguns minutos até um dia a propagar-se por completo e a aparecer como ativas.

Confirme que funcionou

Assim que o DNSSEC aparecer como ativo na Cloudflare e o registo DS estiver em vigor no seu registador, execute a verificação gratuita neste site. Vai dizer-lhe em linguagem simples se o DNSSEC está corretamente publicado e validado para o seu domínio.

Já está? Analise o seu domínio gratuitamente para confirmar que funcionou — e ver a sua nota completa nas 34 verificações.