Présentation des extensions de sécurité DNS (DNSSEC)

Les extensions de sécurité DNS (DNSSEC, Domain Name System Security Extensions) sont une fonctionnalité du système DNS qui authentifie les réponses aux recherches de noms de domaine. Elles n'offrent aucune protection de la confidentialité pour ces recherches, mais empêchent les pirates informatiques de manipuler ou de contaminer les réponses aux requêtes DNS.

Vous devez activer et configurer DNSSEC pour trois emplacements afin de protéger les domaines contre les attaques de spoofing et d'empoisonnement :

  1. La zone DNS de votre domaine doit diffuser des enregistrements DNSSEC spéciaux relatifs aux clés publiques (DNSKEY), aux signatures (RRSIG) et à la non-existence (NSEC, ou NSEC3 et NSEC3PARAM) pour authentifier le contenu de votre zone. Cloud DNS gère cette étape automatiquement si vous activez DNSSEC pour une zone.

  2. Le registre de domaines de premier niveau (TLD) (pour example.com, il s'agit de .com) doit disposer d'un enregistrement DS qui authentifie un enregistrement DNSKEY dans votre zone. Pour ce faire, vous devez activer DNSSEC pour votre service d'enregistrement de noms de domaine.

  3. Afin de bénéficier d'une protection DNSSEC totale, vous devez recourir à un résolveur DNS qui valide les signatures pour les domaines signés DNSSEC. Vous pouvez activer la validation pour des systèmes individuels ou pour vos résolveurs de mise en cache locaux si vous administrez les services DNS de votre réseau.

    Pour en savoir plus sur la validation DNSSEC, consultez les ressources suivantes :

    Vous pouvez également configurer des systèmes de sorte qu'ils utilisent des résolveurs publics pour la validation DNSSEC, tels que le DNS public de Google et le DNS public de Verisign.

Le deuxième point permet de limiter les noms de domaine avec lesquels DNSSEC peut opérer. Le service d'enregistrement et le registre doivent tous deux être compatibles avec DNSSEC pour le domaine de premier niveau que vous utilisez. Si vous ne pouvez pas ajouter d'enregistrements DS à l'aide de votre service d'enregistrement de noms de domaine, l'activation de DNSSEC dans Cloud DNS n'a aucun effet.

Avant d'activer DNSSEC, consultez les ressources suivantes :

  • la documentation de DNSSEC pour votre service d'enregistrement de noms de domaine et votre registre de domaines de premier niveau ;
  • les instructions spécifiques au service d'enregistrement de noms de domaine dans les tutoriels de la communauté Google Cloud ;
  • la liste de l'ICANN des services d'enregistrement de noms de domaine pour vérifier la compatibilité de DNSSEC avec votre domaine.

Si le registre du domaine de premier niveau est compatible avec DNSSEC, mais que votre service d'enregistrement ne l'est pas (ou n'est pas compatible avec ce domaine de premier niveau), vous pouvez transférer vos domaines vers un autre service d'enregistrement compatible. Une fois l'opération terminée, vous pouvez activer DNSSEC pour le domaine.

Opérations de gestion

Pour obtenir des instructions détaillées sur la gestion de DNSSEC, consultez les ressources suivantes :

Types de jeux d'enregistrements améliorés par DNSSEC

Pour en savoir plus sur les types de jeux d'enregistrements et les autres types d'enregistrements, consultez les ressources suivantes :

  • Pour contrôler les autorités de certification publiques (CA) pouvant générer des certificats TLS ou autres pour votre domaine, consultez la section Enregistrements CAA.

  • Pour activer le chiffrement opportuniste via des tunnels IPsec, consultez la section Enregistrements IPSECKEY.

Utiliser de nouveaux types d'enregistrements DNS avec des zones sécurisées DNSSEC

Pour en savoir plus sur les types d'enregistrements DNS et les autres types d'enregistrements, consultez la ressource suivante :

  • Pour autoriser les applications clientes SSH à valider les serveurs SSH, consultez la section Enregistrements SSHFP.

Étape suivante

  • Pour afficher les enregistrements de clé DNSSEC, consultez la page Afficher des clés DNSSEC.
  • Pour créer, mettre à jour, répertorier et supprimer des zones gérées, consultez la page Gérer les zones.
  • Pour trouver des solutions aux problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud DNS, consultez la page Dépannage.
  • Pour en savoir plus sur Cloud DNS, consultez la page Présentation de Cloud DNS.