Un certificado LetsEncrypt de un dominio .com.mx alojado en Digital Ocean en un droplet expiró y no se pudo renovar; el proceso devolvía el error DNSSEC: DNSKEY Missing y además señalaba que IPv6 no estaba configurado. A continuación explico paso a paso lo que descubrí y cómo se solucionó.
Paso 1: añadí registros AAAA y configuré la dirección IPv6 en el droplet para que respondiera por IPv6, aunque al principio no resolvió el problema de emisión del certificado, más adelante esto fue determinante para que todo funcionara correctamente.
Paso 2: al revisar la configuración del dominio en AKKY, el registrador mexicano que administra dominios mx, encontré una opción llamada REGISTRO DS o Delegation Signer que incluye los datos de una llave KSK para reforzar la seguridad del dominio. Ese registro DS no es compatible con el servicio de DNS de Digital Ocean, por lo que fue necesario eliminarlo desde la configuración de AKKY. En resumen, cuando se utiliza un DNS externo distinto del registrador hay que verificar que no existan registros DS activos que deleguen validación DNSSEC que el proveedor DNS no pueda gestionar.
Paso 3: tras eliminar el registro DS consulté la salud del DNS con la herramienta DNSViz y la conexión DNS ya se reportó como resuelta. Esto devolvió el estado correcto para la cadena de delegación del dominio y eliminó el error de DNSSEC original.
Paso 4: a pesar de que el DNS ya estaba correcto, la emisión del certificado siguió fallando con un nuevo mensaje indicando que IPv6 no estaba autorizado. La solución fue habilitar IPv6 también en la configuración del servidor web NGINX para que aceptara conexiones por IPv6 además de IPv4. En la definición del server añadí la escucha en IPv6 de esta forma: server { listen 443 ssl http2; listen [::]:443 ssl http2; # Listen on all available IPv6 addresses on port 443 server_name midominio.com www.midominio.com; ... otras configuraciones } Con esa modificación la renovación del certificado funcionó y el dominio volvió a verse correctamente por HTTPS.
Recomendaciones prácticas: siempre revisar en el registrador si hay registros DS o configuraciones DNSSEC activas cuando se usa un proveedor DNS distinto; comprobar con herramientas como DNSViz o dig; asegurarse de que los registros AAAA apunten al droplet y que el servidor web esté escuchando en IPv6; probar la emisión del certificado en el entorno de staging de LetsEncrypt para evitar bloqueos en producción; y mantener actualizadas las configuraciones de DNS y firewall para IPv6.
En Q2BSTUDIO somos especialistas en resolver problemas de infraestructura, seguridad y despliegue de aplicaciones. Si necesitas ayuda para configurar DNS, renovar certificados LetsEncrypt, migrar servicios a la nube o implementar soluciones a medida podemos apoyarte. Ofrecemos desarrollo de aplicaciones a medida y software a medida, servicios de inteligencia artificial y ia para empresas, además de servicios de ciberseguridad y pentesting, administración de servicios cloud aws y azure, servicios inteligencia de negocio y soluciones con power bi. También diseñamos agentes IA, automatizamos procesos y desplegamos infraestructuras seguras y escalables para tu negocio.
Si te interesa optimizar tu plataforma, asegurar tus dominios y certificados o desarrollar una solución customizada, contacta con Q2BSTUDIO y te ayudamos a implementar la mejor estrategia tecnológica adaptada a tu empresa.