Sécurité DNS (DNSSEC)

DNSSEC est une fonctionnalité du système DNS qui authentifie les réponses aux recherches de noms de domaine. Elle n'offre aucune protection de la confidentialité pour ces recherches, mais empêche les pirates informatiques de manipuler ou de contaminer les réponses aux requêtes DNS.

Vous devez activer et configurer DNSSEC en trois emplacements pour protéger les domaines contre les attaques de spoofing et de contamination :

  1. La zone DNS de votre domaine doit diffuser des enregistrements DNSSEC spéciaux relatifs aux clés publiques (DNSKEY), aux signatures (RRSIG) et à la non-existence (NSEC, ou NSEC3 et NSEC3PARAM) pour authentifier le contenu de votre zone. Cloud DNS gère cette étape automatiquement si vous activez DNSSEC pour une zone.

  2. Le registre de domaines de premier niveau (tels que .COM dans example.com) doit disposer d'un enregistrement DS qui authentifie un enregistrement DNSKEY dans votre zone. Pour ce faire, vous devez activer DNSSEC pour votre service d'enregistrement de noms de domaine.

  3. Afin de bénéficier d'une protection DNSSEC totale, les clients doivent recourir à un résolveur DNS qui valide les signatures pour les domaines signés DNSSEC. Vous pouvez activer la validation pour les systèmes individuels ou les résolveurs DNS locaux. Reportez-vous aux annexes de ce guide PDF. Vous pouvez également configurer des systèmes de sorte qu'ils utilisent des résolveurs publics pour la validation DNSSEC, tels que le DNS public de Google et le DNS public de Verisign.

Le deuxième point permet de limiter les noms de domaine avec lesquels DNSSEC peut opérer. Le service d'enregistrement et le registre doivent tous deux être compatibles avec DNSSEC pour le domaine de premier niveau que vous utilisez. Si vous ne pouvez pas ajouter d'enregistrements DS à l'aide de votre service d'enregistrement de noms de domaine, l'activation de DNSSEC dans Cloud DNS n'a aucun effet.

Avant d'activer DNSSEC, consultez la documentation de DNSSEC pour votre service d'enregistrement de noms de domaine et votre registre de domaines de premier niveau. Reportez-vous également aux instructions spécifiques au service d'enregistrement de noms de domaine dans les tutoriels de la communauté Google Cloud. Enfin, consultez la liste de l'ICANN des services d'enregistrement de noms de domaine pour vérifier la compatibilité de DNSSEC avec votre domaine. Si le registre de domaines de premier niveau est compatible avec DNSSEC, mais que votre service d'enregistrement de noms de domaine ne l'est pas (ou n'est pas compatible avec ce domaine de premier niveau), vous pouvez transférer vos domaines vers un service d'enregistrement de noms de domaine compatible. Une fois l'opération terminée, vous pouvez activer DNSSEC pour le domaine.

Opérations de gestion

Accédez à la section "Gérer DNSSEC" (sous "Voir également") pour obtenir des instructions sur chacune de ces tâches, ou cliquez sur les liens ci-dessous :

DNSSEC, transfert de domaines et migration de zone

Migrer des zones DNSSEC signées vers Google Cloud DNS

Quitter l'état de transfert DNSSEC

Migrer des zones DNSSEC signées à partir de Google Cloud DNS

Déléguer des sous-domaines signés DNSSEC

Types de jeux d'enregistrements améliorés par DNSSEC

Consultez la section DNSSEC avancé pour obtenir des instructions sur ces types d'enregistrements, parmi d'autres, ou cliquez sur les liens ci-dessous :

Enregistrements CAA

Enregistrements IPSECKEY

Utiliser de nouveaux types d'enregistrements DNS avec des zones sécurisées DNSSEC

Consultez la section DNSSEC avancé pour obtenir des instructions sur ces types d'enregistrements, parmi d'autres, ou cliquez sur les liens ci-dessous :

Enregistrements SSHFP

Étapes suivantes