Les extensions de sécurité DNS (DNSSEC, Domain Name System Security Extensions) sont une fonctionnalité du système DNS qui authentifie les réponses aux recherches de noms de domaine. Elles n'offrent aucune protection de la confidentialité pour ces recherches, mais empêchent les pirates informatiques de manipuler ou de contaminer les réponses aux requêtes DNS.
Pour protéger les domaines contre les attaques de spoofing et d'empoisonnement, activez et configurez DNSSEC aux emplacements suivants :
Zone DNS. Si vous activez DNSSEC pour une zone, Cloud DNS gère automatiquement la création et la rotation Clés DNSSEC (enregistrements DNSKEY) et signature des données de zone avec les ressources enregistrements de signature numérique d’enregistrement (RRSIG).
Registre de domaines de premier niveau (TLD) (pour
example.com
, il s'agit de.com
). Dans votre registre de domaines de premier niveau, vous devez disposer d'un enregistrement DS qui authentifie un DNSKEY dans votre zone. Pour ce faire, vous devez activer DNSSEC pour votre service d'enregistrement de noms de domaine.Résolveur DNS Afin de bénéficier d'une protection DNSSEC totale, vous devez recourir à un résolveur DNS qui valide les signatures pour les domaines signés DNSSEC. Vous pouvez activer pour des systèmes individuels ou vos résolveurs de mise en cache locaux d'administrer les services DNS de votre réseau.
Pour en savoir plus sur la validation DNSSEC, consultez les ressources suivantes :
- La validation DNSSEC est-elle activée ?
- Déployer DNSSEC avec BIND et Ubuntu Server (Partie 1)
- Guide DNSSEC : Chapitre 3. Validation
- DNSSEC
Vous pouvez également configurer des systèmes de sorte qu'ils utilisent des résolveurs publics pour la validation DNSSEC, tels que le DNS public de Google et le DNS public de Verisign.
Le deuxième point permet de limiter les noms de domaine avec lesquels DNSSEC peut opérer. Le service d'enregistrement et le registre doivent tous deux être compatibles avec DNSSEC pour le domaine de premier niveau que vous utilisez. Si vous ne pouvez pas ajouter d'enregistrements DS à l'aide de votre service d'enregistrement de noms de domaine, l'activation de DNSSEC dans Cloud DNS n'a aucun effet.
Avant d'activer DNSSEC, consultez les ressources suivantes :
- la documentation de DNSSEC pour votre service d'enregistrement de noms de domaine et votre registre de domaines de premier niveau ;
- les instructions spécifiques au bureau d'enregistrement de noms de domaine dans les tutoriels de la communauté Google Cloud ;
- la liste de l'ICANN des bureaux d'enregistrement de noms de domaine pour vérifier la compatibilité de DNSSEC avec votre domaine.
Si le registre du domaine de premier niveau est compatible avec DNSSEC, mais que votre bureau d'enregistrement ne l'est pas (ou n'est pas compatible avec ce domaine de premier niveau), vous pouvez transférer vos domaines vers un autre bureau d'enregistrement compatible. Une fois l'opération terminée, vous pouvez activer DNSSEC pour le domaine.
Opérations de gestion
Pour obtenir des instructions détaillées sur la gestion de DNSSEC, consultez les ressources suivantes :
Pour changer l'état DNSSEC de la zone de
Transfer
àOn
, consultez la section Quitter l'état de transfert DNSSEC.Pour activer DNSSEC pour les sous-domaines délégués, consultez la page Déléguer des sous-domaines signés DNSSEC.
Types de jeux d'enregistrements améliorés par DNSSEC
Pour en savoir plus sur les types de jeux d'enregistrements et les autres types d'enregistrements, consultez les ressources suivantes :
Pour contrôler les autorités de certification publiques (CA) pouvant générer des certificats TLS ou autres pour votre domaine, consultez la section Enregistrements CAA.
Pour activer le chiffrement opportuniste via des tunnels IPsec, consultez la section Enregistrements IPSECKEY.
Types d'enregistrements DNS avec zones sécurisées DNSSEC
Pour en savoir plus sur les types d'enregistrements DNS et les autres types d'enregistrements, consultez la ressource suivante :
- Pour autoriser les applications clientes SSH à valider les serveurs SSH, consultez la section Enregistrements SSHFP.
Migration ou transfert de zones où DNSSEC est activé
Cloud DNS est compatible avec la migration des zones où DNSSEC est activé, où DNSSEC a été activé au niveau du registre de domaine sans rompre la chaîne de confiance. Vous pouvez migrer des zones vers ou depuis d'autres opérateurs DNS qui sont également compatibles avec la migration.
Pour effectuer la migration d'une zone signée DNSSEC vers Cloud DNS, consultez la page Migrer des zones signées DNSSEC vers Cloud DNS.
Pour effectuer la migration d'une zone signée DNSSEC vers un autre opérateur DNS, consultez la section Migrer des zones signées DNSSEC à partir de Cloud DNS.
Si votre domaine existant est hébergé par votre bureau d'enregistrement, nous vous recommandons de migrer les serveurs de noms vers Cloud DNS avant de les transférer vers un autre bureau d'enregistrement.
Étape suivante
- Pour afficher les enregistrements de clé DNSSEC, consultez la page Afficher des clés DNSSEC.
- Pour utiliser les zones gérées, consultez la page Créer, modifier et supprimer des zones.
- Pour trouver des solutions aux problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud DNS, consultez la page Dépannage.
- Pour en savoir plus sur Cloud DNS, consultez la page Présentation de Cloud DNS.