Preguntas frecuentes

General

¿Qué es el DNS público de Google?

El DNS público de Google es un servicio de resolución de sistema de nombres de dominio (DNS) global y gratuito que puedes usar como alternativa a tu proveedor de DNS actual.

¿Por qué Google trabaja en un servicio de DNS?

Creemos que una infraestructura de DNS más rápida y segura podría mejorar significativamente la experiencia de navegación web. El DNS público de Google realizó muchas mejoras en las áreas de velocidad, seguridad y validez de los resultados. Compartimos estas mejoras en nuestra documentación para contribuir a una conversación continua dentro de la comunidad web.

¿Puedo usar el DNS público de Google para alojar mi nombre de dominio?

El DNS público de Google no es un servicio de hosting de DNS autorizado y no se puede usar como uno. Si buscas un servidor de nombres autorizado, programable y de gran volumen con la infraestructura de Google, prueba Cloud DNS de Google.

¿El DNS público de Google ofrece la posibilidad de bloquear o filtrar sitios no deseados?

El DNS público de Google es puramente un servidor de almacenamiento en caché y resolución de DNS. No realiza ningún bloqueo ni filtro de ningún tipo, excepto que puede que no resuelva ciertos dominios en casos extraordinarios si creemos que es necesario para proteger a los usuarios de Google de las amenazas de seguridad. Sin embargo, creemos que es mejor que el cliente realice la función de bloqueo. Si deseas habilitar esa funcionalidad, deberías considerar instalar una aplicación del lado del cliente o un complemento del navegador para este propósito.

¿Existen dependencias entre productos del DNS público de Google?

El DNS público de Google es un servicio independiente.

¿Necesito una cuenta de Google para usar el DNS público de Google?

El uso del DNS público de Google no requiere ninguna cuenta.

¿En qué se diferencia el DNS público de Google del servicio de DNS de mi ISP o de otros agentes de resolución de DNS abiertos? ¿Cómo puedo saber si es mejor?

Los agentes de resolución abiertos y tu ISP ofrecen servicios de resolución de DNS. Te invitamos a probar el DNS público de Google como tu agente de resolución de DNS principal o secundario, junto con cualquier otro servicio DNS alternativo. Cuando identificas un agente de resolución de DNS que se adapte a tus necesidades, debes tener en cuenta muchos factores, como la velocidad, la confiabilidad, la seguridad y la validez de las respuestas. A diferencia del DNS público de Google, algunos ISP y agentes de resolución abiertos bloquean, filtran o redireccionan respuestas de DNS con fines comerciales.

¿Cómo maneja el DNS público de Google los dominios que no existen?

Si realizas una consulta para un nombre de dominio que no existe, el DNS público de Google siempre muestra un registro NXDOMAIN, de acuerdo con los estándares del protocolo de DNS. El navegador debe mostrar esta respuesta como un error de DNS. Si, en cambio, recibes una respuesta que no es un mensaje de error (por ejemplo, se te redirecciona a otra página), esto podría deberse a lo siguiente:

  • Una aplicación del cliente, como un complemento del navegador, muestra una página alternativa para un dominio que no existe.
  • Algunos ISP pueden interceptar y reemplazar todas las respuestas de NXDOMAIN por respuestas que conducen a sus propios servidores. Si te preocupa que tu ISP intercepte solicitudes o respuestas de DNS público de Google, debes comunicarte con tu ISP.

¿Se usará el DNS público de Google para publicar anuncios en el futuro?

Nos comprometemos a preservar la integridad del protocolo de DNS. El DNS público de Google nunca mostrará la dirección de un servidor de anuncios para un dominio inexistente.

¿Qué es DNS por HTTPS (DoH)?

Resolución de DNS mediante una conexión HTTPS encriptada DNS por HTTPS mejora en gran medida la privacidad y la seguridad entre un agente de resolución de stub y un agente de resolución recurrente, y complementa DNSSEC para proporcionar búsquedas de DNS autenticadas de extremo a extremo.

Uso y asistencia

Ahora estoy usando otro servicio DNS. ¿Puedo usar también el DNS público de Google?

Puedes configurar el DNS público de Google como tu agente de resolución de DNS principal o secundario, junto con tu agente de resolución de DNS actual. Recuerda que los sistemas operativos tratan los agentes de resolución de DNS de manera diferente: algunos prefieren el agente de resolución de DNS principal y solo usan el secundario si el principal no responde, mientras que otros rotan entre cada uno de ellos.

Si hay diferencias en la seguridad o el filtrado entre los agentes de resolución configurados, obtienes el nivel más bajo de seguridad o filtrado de todos los agentes de resolución. A veces, es posible que el filtrado o el redireccionamiento de NXDOMAIN a páginas bloqueadas funcionen, pero SERVFAIL no bloquea dominios, a menos que todos los agentes de resolución muestren SERVFAIL.

¿El DNS público de Google es adecuado para todo tipo de dispositivos habilitados para Internet?

El DNS público de Google se puede usar en cualquier dispositivo de red que cumpla con los estándares. Si encuentras una situación en la que el DNS público de Google no funcione bien, comunícate con nosotros.

¿Puedo ejecutar el DNS público de Google en la computadora de mi oficina?

Algunas oficinas tienen redes privadas que te permiten acceder a dominios a los que no puedes acceder fuera del trabajo. Usar el DNS público de Google podría limitar tu acceso a estos dominios privados. Consulta la política del departamento de TI antes de usar el DNS público de Google en la computadora de tu oficina.

¿En qué países está disponible el DNS público de Google?

Está disponible para los usuarios de Internet de todo el mundo, aunque tu experiencia puede variar considerablemente en función de tu ubicación específica.

¿El DNS público de Google funciona con todos los ISP?

El DNS público de Google debería funcionar con la mayoría de los ISP, suponiendo que tienes acceso para cambiar la configuración de DNS de la red.

¿Debo usar ambas direcciones IP del DNS público de Google?

Puedes usar Google como tu servicio principal con solo usar una de las direcciones IP. Sin embargo, asegúrate de no especificar la misma dirección que los servidores principales y secundarios.

¿Importa en qué orden especifica las direcciones IP?

No importa el orden. Puede ser tu servidor de nombres principal o secundario.

¿Cuál es el ANS del servicio?

No existe un Acuerdo de Nivel de Servicio (ANS) para el servicio gratuito de DNS público de Google.

Estoy ejecutando un ISP. ¿Puedo redireccionar a mis usuarios al DNS público de Google?

Los ISP que deseen usar el DNS público de Google deben seguir las instrucciones del ISP para ver si necesitan hacer algo antes de enviar consultas al DNS público de Google.

¿Cómo puedo obtener asistencia del equipo de DNS público de Google?

Te recomendamos unirte a nuestros Grupos de Google para obtener actualizaciones útiles del equipo y hacer cualquier pregunta que tengas. Si tienes un problema y deseas informarlo, consulta Cómo informar problemas para conocer los procedimientos.

Beneficios técnicos

¿Cómo sabe Google Public DNS hacia dónde enviar mis consultas?

El enrutamiento Anycast dirige tus consultas al servidor DNS público de Google más cercano. Para obtener más información sobre el enrutamiento Anycast, consulta la entrada de Wikipedia.

El DNS público de Google usa registros del servidor de nombres (NS) publicados en la zona raíz del DNS y en las zonas de los dominios de nivel superior para buscar los nombres y las direcciones de los servidores DNS que son autorizados para cualquier dominio. Algunos de esos servidores de nombres también usan enrutamiento Anycast.

¿Dónde se encuentran actualmente tus servidores?

Los servidores DNS públicos de Google están disponibles en todo el mundo. Hay dos respuestas a esta pregunta: una para los clientes y otra para los servidores DNS de los que el DNS público de Google obtiene las respuestas que muestra.

Cuando los clientes envían consultas al DNS público de Google, se enrutan a la ubicación más cercana que anuncia la dirección Anycast que se usa (8.8.8.8, 8.8.4.4 o una de las direcciones IPv6 en 2001:4860:4860::). Las ubicaciones específicas que anuncian estas direcciones Anycast cambian debido a las condiciones de la red y la carga de tráfico, e incluyen casi todos los centros de datos principales y puntos de presencia perimetrales (PoP) en la red perimetral de Google.

El DNS público de Google envía consultas a servidores autorizados desde los centros de datos principales y las ubicaciones de la región de Google Cloud. Google publica una lista de los rangos de direcciones IP que el DNS público de Google puede usar para consultar servidores DNS autorizados (no se usan todos los rangos de la lista). Puedes usarlo para la ubicación geográfica de consultas de DNS que carecen de datos de subred de cliente de EDNS (ECS) y configurar las LCA a fin de permitir tasas de consultas más altas desde el DNS público de Google.

Además de estas preguntas frecuentes, Google también publica la lista como un registro TXT de DNS. Google actualiza ambas fuentes cada semana con adiciones, modificaciones y eliminaciones. Cada entrada de rango de direcciones IP incluye el código IATA del aeropuerto más cercano. La automatización de los datos GeoIP o las LCA debería obtenerlos a través de DNS, no a través de la copia de esta página web (consulta un ejemplo a continuación).

Ubicaciones de los rangos de direcciones IP que el DNS público de Google usa para enviar consultas

    


  

Obtén datos de ubicación de manera programática

Los rangos de direcciones se pueden recuperar como un archivo JSON:

curl https://www.gstatic.com/ipranges/publicdns.json

Puedes usar la siguiente secuencia de comandos de Python a fin de crear una lista de rangos de direcciones IP que el DNS público de Google usará para realizar consultas a servidores DNS autorizados.

Estos datos también están disponibles en locations.publicdns.goog. como un registro TXT. Sin embargo, el tamaño de los datos significa que los registros TXT de DNS ya no son un formato adecuado. Reemplazamos el registro TXT por el archivo con formato JSON descrito anteriormente. Si usas el registro TXT, cambia a usar el archivo JSON en su lugar, ya que planeamos quitar el registro TXT en algún momento.

Línea de comandos

Puedes usar curl y la herramienta de jq para extraer los rangos de IP de DNS público de Google desde la línea de comandos.

curl https://www.gstatic.com/ipranges/publicdns.json | jq '.prefixes[]  | .ipv4Prefix // .ipv6Prefix '

Esto requiere lo siguiente :

Python

Puedes usar la siguiente secuencia de comandos de Python para crear una lista de rangos de direcciones IP que usa el DNS público de Google.

#!/usr/bin/env python3
"""An example to fetch and print the Google Public DNS IP ranges."""

import ipaddress
import json
import urllib.request

publicdns_url = 'https://www.gstatic.com/ipranges/publicdns.json'


def read_url(url):
  try:
    s = urllib.request.urlopen(url).read()
    return json.loads(s)
  except urllib.error.HTTPError:
    print('Invalid HTTP response from %s' % url)
    return {}
  except json.decoder.JSONDecodeError:
    print('Could not parse HTTP response from %s' % url)
    return {}


def main():
  publicdns_json = read_url(publicdns_url)
  print('{} published: {}'.format(publicdns_url,
                                  publicdns_json.get('creationTime')))

  locations = dict()
  ipv4, ipv6 = set(), set()
  for e in publicdns_json['prefixes']:
    if e.get('ipv4Prefix'):
      ip = ipaddress.IPv4Network(e.get('ipv4Prefix'), strict=False)
      ipv4.add(ip)
    if e.get('ipv6Prefix'):
      ip = ipaddress.IPv6Network(e.get('ipv6Prefix'), strict=False)
      ipv6.add(ip)
    locations[ip] = e.get('scope')
  print('IP ranges used by Google Public DNS for contacting '
        'authoritative DNS servers:')
  for i in list(ipv4) + list(ipv6):
    print(i, locations[i])


if __name__ == '__main__':
  main()

Para macOS, esta secuencia de comandos requiere un entorno de ejecución de Python 3 configurado de la siguiente manera:

  • Instala la versión actual del entorno de ejecución de Python 3 para macOS.
  • Ejecuta el Install Certificates.command incluido desde la carpeta de Python en tu carpeta de aplicaciones para instalar una lista de certificados raíz de confianza (cert.pem) que usarás en el entorno de ejecución de Python. Reemplaza VERSION por la versión de Python que instalaste (como 3.8):
    sudo "/Applications/Python VERSION/Install Certificates.command"

¿Google Public DNS se basa en software de código abierto, como BIND?

El DNS público de Google es la propia implementación de los estándares de DNS de Google.

¿Tienen pensado lanzar código DNS público de Google como software de código abierto?

Por el momento, no hay planes para abrir el DNS público de Google. Sin embargo, detallamos todas las medidas que tomamos para aumentar la velocidad, la seguridad y el cumplimiento de los estándares.

¿El DNS público de Google admite IPv6?

El DNS público de Google tiene direcciones IPv6 para las solicitudes entrantes de los clientes con conectividad IPv6 y responde a todas las solicitudes de direcciones IPv6, por lo que muestra registros AAAA, si existen. Es totalmente compatible con servidores de nombres autorizados que solo usen IPv6. Las direcciones de resolución IPv6 se proporcionan en las instrucciones para comenzar con el DNS público de Google.

Ten en cuenta que es posible que no veas los resultados de IPv6 para los sitios web de Google. Para optimizar la experiencia del usuario, Google solo entrega registros AAAA a los clientes con buena conectividad IPv6. Esta política es completamente independiente del DNS público de Google y está aplicada por los servidores de nombres autorizados de Google. Para obtener más información, consulta la página Google sobre IPv6.

Para redes y sistemas solo IPv6, puedes usar DNS público de Google a fin de obtener registros AAAA sintetizados para nombres de dominio con registros A, pero no registros AAAA. Estos registros AAAA sintetizados dirigen a los clientes solo IPv6 a una puerta de enlace NAT64 mediante un prefijo IPv6 conocido reservado para el servicio NAT64. Solo configura tus sistemas según las instrucciones de introducción y reemplaza las direcciones del agente de resolución por la configuración de IPv6 de DNS64.

¿El DNS público de Google es compatible con el protocolo DNSSEC?

El DNS público de Google es un agente de resolución con validación de seguridad. Todas las respuestas de las zonas con firma de DNSSEC se validan, a menos que los clientes establezcan de forma explícita la marca de EC en las solicitudes de DNS para inhabilitar la validación.

¿Cómo puedo averiguar si estoy usando DNSSEC?

Para realizar una prueba simple, visita http://www.dnssec-failed.org/. Este sitio se configuró específicamente para mostrar un error de DNS debido a una cadena de autenticación dañada. Si no recibe un error, no está usando DNSSEC.

¿Cómo maneja el DNS público Google las búsquedas que no pasan la validación de DNSSEC?

Si el DNS público de Google no puede validar una respuesta (debido a una configuración incorrecta, registros RRSIG faltantes o incorrectos, etc.), mostrará una respuesta de error (SERVFAIL). Sin embargo, si el impacto es significativo (p.ej., un dominio muy popular falla en la validación), es posible que inhabilitemos la validación en la zona de forma temporal hasta que se solucione el problema.

¿Cómo puedo averiguar por qué un dominio determinado no aprueba la validación de DNSSEC?

Verisign Labs (Analizador de DNS) y Sandia National Laboratories (DNSViz) son dos herramientas de visualización de DNSSEC que muestran la cadena de autenticación de DNSSEC para cualquier dominio. Muestran dónde ocurren las fallas y son útiles para buscar la fuente de las fallas de DNSSEC.

El DNS público de Google está entregando datos antiguos. ¿Puedo forzarlo a que actualice sus datos?

Puedes usar la herramienta Limpiar caché para actualizar la caché de DNS público de Google para tipos de registro comunes y la mayoría de los nombres de dominio. No necesitas probar la propiedad del dominio para limpiarlo, pero debes resolver un reCAPTCHA que restrinja el abuso automatizado del servicio.

Si se vacía cualquier tipo de registro de un dominio que registraste o subdelegaste con registros NS, no solo se limpian las respuestas almacenadas en caché para el tipo, sino que también limpia la información de delegación sobre los servidores de nombres para ese dominio. Cuando hayas cambiado recientemente los servidores de nombres (mediante el cambio de registradores o proveedores de hosting de DNS), es fundamental que lo hagas antes de limpiar subdominios como www, de modo que no se actualicen desde datos obsoletos en tus servidores DNS antiguos.

Si el DNS público de Google muestra respuestas con registros CNAME inactivos, debes limpiar el tipo de registro CNAME para cada dominio CNAME, a partir del último CNAME de la cadena y volver al nombre consultado. Después de limpiar todos los CNAME, limpia los nombres consultados con cualquier tipo de registro que responda con el CNAME inactivo.

Existen algunas limitaciones sobre lo que se puede limpiar:

  • Los dominios que usan la subred de cliente EDNS (ECS) para la ubicación geográfica no se pueden limpiar. En el caso de los dominios que usan ECS, configura los TTL de los registros habilitados para ECS lo suficientemente cortos (15 minutos o menos) como para no tener que limpiarlos nunca.

  • La única forma de limpiar todos los subdominios o todos los tipos de registros de un nombre de dominio es limpiar cada tipo de registro para cada nombre de dominio que desees limpiar. Si esto no es práctico, siempre puedes esperar a que venzan los TTL del registro (por lo general, están limitados a seis horas, incluso si el TTL real es más largo).

  • Para descartar nombres de dominio internacionalizados, como пример.example, usa el formulario con puntuación (xn‑‑e1afmkfd.example para el ejemplo anterior). Los dominios con caracteres que no sean letras ASCII, dígitos, guiones o guiones bajos no se pueden limpiar.

¿El DNS público de Google protege el llamado "último salto" mediante la encriptación de la comunicación con los clientes?

El tráfico tradicional de DNS se transporta a través de UDP o TCP sin encriptación. También proporcionamos DNS por TLS y DNS por HTTPS, que encripta el tráfico entre los clientes y el DNS público de Google. Puedes probarlo en: https://dns.google.

¿Por qué necesitamos DNS por HTTPS cuando ya tenemos DNSSEC?

DNS por HTTPS y DNSSEC son complementarios. El DNS público de Google usa DNSSEC para autenticar las respuestas de los servidores de nombres siempre que sea posible. Sin embargo, para autenticar de forma segura una respuesta UDP o TCP tradicional del DNS público de Google, un cliente tendría que repetir la validación de DNSSEC, lo que muy pocos agentes de resolución de clientes lo hacen en la actualidad. DNS sobre HTTPS encripta el tráfico entre agentes de resolución de stub y DNS público de Google, y complementa DNSSEC para proporcionar búsquedas de DNS autenticadas de extremo a extremo.

¿Hay herramientas que pueda usar para probar el rendimiento del DNS público de Google con el de otros servicios de DNS?

Hay muchas herramientas gratuitas que puedes usar para medir el tiempo de respuesta del DNS público de Google. Te recomendamos Namebench. Independientemente de la herramienta que uses, debes ejecutar la herramienta en una gran cantidad de dominios (más de 5,000) para garantizar resultados estadísticamente significativos. Aunque las pruebas tardan más en ejecutarse, el uso de un mínimo de 5, 000 dominios garantiza que la variabilidad debido a la latencia de la red (pérdida de paquetes y retransmisiones) se minimice y que la caché de nombres grandes del DNS público de Google se ejerza de manera exhaustiva.

Para establecer la cantidad de dominios en Namebench, usa la opción de la GUI Cantidad de pruebas o la marca de línea de comandos -t. Consulta la documentación de Namebench para obtener más información.

Cuando ejecuto ping o traceroute en los agentes de resolución de DNS público de Google, la latencia de respuesta es mayor que la de otros servicios. ¿Esto significa que el DNS público de Google siempre será más lento?

Además del tiempo de ping, también debes considerar el tiempo promedio para resolver un nombre. Por ejemplo, si tu ISP tiene un tiempo de ping de 20 ms, pero un tiempo de resolución de nombres promedio de 500 ms, el tiempo de respuesta promedio general es de 520 ms. Si el DNS público de Google tiene un tiempo de ping de 300 ms, pero resuelve muchos nombres en 1 ms, el tiempo de respuesta promedio general es de 301 ms. Para obtener una mejor comparación de los nombres de dominio, recomendamos una mejor comparación.

¿Cómo funciona el DNS público de Google con la ubicación geográfica de CDN?

Muchos sitios que proporcionan contenido multimedia de transmisión o descargable alojan su contenido con redes de distribución de contenido (CDN) de terceros basadas en DNS, como Akamai. Cuando un agente de resolución de DNS consulta un servidor de nombres autorizado para una dirección IP de CDN, el servidor de nombres muestra la dirección más cercana (en distancia de red) al agente de resolución, no al usuario. En algunos casos, para los agentes de resolución basados en ISP y los agentes de resolución públicos, como el DNS público de Google, es posible que el agente de resolución no esté cerca del usuario. En tales casos, la experiencia de navegación podría ser más lenta. El DNS público de Google no es diferente a otros proveedores de DNS en este sentido.

Para reducir la distancia entre los servidores DNS y los usuarios, el DNS público de Google implementó sus servidores en todo el mundo. En particular, los usuarios en Europa deben dirigirse a los servidores de contenido de CDN en Europa, los usuarios en Asia deben dirigirse a los servidores de CDN en Asia y los usuarios en el este, centro y oeste de EE.UU. a los servidores de CDN en esas respectivas regiones. También publicamos esta información para ayudar a que las CDN proporcionen buenos resultados de DNS a los usuarios multimedia.

Además, el DNS público de Google usa una solución técnica llamada subred cliente de EDNS, como se describe en la RFC. Esto permite que los agentes de resolución pasen parte de la dirección IP del cliente (los primeros 24/56 bits o menos para IPv4 o IPv6 respectivamente) como la IP de origen en el mensaje DNS, de modo que los servidores de nombres puedan mostrar resultados optimizados según la ubicación del usuario en lugar de la del agente de resolución.

Privacidad

¿Qué información registra Google cuando uso el servicio de DNS público de Google?

La página de privacidad del DNS público de Google tiene una lista completa de la información que recopilamos. El DNS público de Google cumple con la política de privacidad principal de Google, disponible en nuestro Centro de privacidad.

Tu dirección IP de cliente solo se registra temporalmente (se borra en un día o dos), pero la información sobre los ISP y las ubicaciones a nivel de ciudad o área metropolitana se conserva por más tiempo, con el fin de hacer que nuestro servicio sea más rápido, mejor y más seguro.

¿La información recopilada se almacena en mi cuenta de Google?

No hay datos almacenados asociados a ninguna cuenta de Google.

¿Google comparte la información que recopila del servicio de DNS público de Google con cualquier persona ajena a Google?

No, excepto en las circunstancias limitadas que se describen en la política de privacidad de Google, como los procesos legales y las solicitudes gubernamentales aplicables. (Consulta también el Informe de transparencia de Google sobre las solicitudes de datos del usuario).

¿Google correlaciona o combina información de registros temporales o permanentes con información personal que proporcioné a Google para otros servicios?

Como se indica en la página de privacidad, no combinamos ni correlacionamos los datos de registro de esta manera.