Utiliser DNSSEC et les bureaux d'enregistrement

Cette page explique comment activer et désactiver DNSSEC (Domain Name System Security Extensions au niveau de votre bureau d'enregistrement de noms de domaine.

Pour obtenir une présentation des concepts liés à DNSSEC, consultez la présentation de DNSSEC.

Activer DNSSEC au niveau de votre bureau d'enregistrement de noms de domaine

Après avoir activé DNSSEC pour votre zone, vous devez l'activer au niveau de votre bureau d'enregistrement. Pour ce faire, créez un enregistrement DS pour votre domaine dans la zone parente afin que les résolveurs sachent que votre domaine est compatible avec DNSSEC et qu'il est capable de valider ses données. Chaque bureau d'enregistrement possède sa propre procédure de création d'enregistrements DS, mais de nombreux bureaux proposent un formulaire de site Web.

Pour obtenir des instructions spécifiques à de nombreux bureaux d'enregistrement de noms de domaine, consultez le tutoriel de la communauté Google Cloud Activer DNSSEC pour les domaines Cloud DNS.

Veillez à tester soigneusement votre configuration DNS avant d'activer DNSSEC sur les domaines importants. Une fois DNSSEC activé, l'opération pour le désactiver peut prendre 24 heures ou plus si nécessaire en raison des délais de propagation et de la mise en cache du résolveur.

Obtenir les enregistrements DS

Pour obtenir les enregistrements DS de votre zone, procédez comme suit :

Console

  1. Dans la console Google Cloud, accédez à la page Créer une zone DNS.

    Accéder à la page Créer une zone DNS

  2. Cliquez sur la zone pour laquelle vous souhaitez obtenir les enregistrements DS.

  3. Cliquez sur Configuration du bureau d'enregistrement.

  4. Copiez les enregistrements DS depuis la boîte de dialogue. Les enregistrements DS se présentent comme suit:

    18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
    

gcloud

Exécutez la commande gcloud dns dns-keys list.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

Remplacez les éléments suivants :

  • MANAGED_ZONE : nom de la zone gérée

Vous obtenez un résultat semblable à ce qui suit :

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

Désactiver DNSSEC au niveau de votre bureau d'enregistrement de noms de domaine

Avant de désactiver DNSSEC pour une zone gérée que vous souhaitez toujours utiliser, vous devez désactiver DNSSEC pour la zone au niveau de votre bureau d'enregistrement de noms de domaine, afin de vous assurer que les résolveurs chargés de la validation DNSSEC seront toujours en mesure de résoudre les noms dans la zone.

Pour désactiver DNSSEC, supprimez tous les enregistrements DS de votre domaine dans la zone parente. Ainsi, les résolveurs ne tenteront plus d'utiliser DNSSEC pour valider les données de votre domaine. Chaque bureau d'enregistrement possède sa propre procédure de suppression d'enregistrements DS, mais de nombreux bureaux proposent un formulaire de site Web.

Pour obtenir des instructions spécifiques à de nombreux bureaux d'enregistrement de noms de domaine, consultez le tutoriel de la communauté Google Cloud Activer DNSSEC pour les domaines Cloud DNS.

Une fois l'enregistrement DS supprimé du bureau d'enregistrement, vous devez attendre que sa suppression se propage à tous les résolveurs avant de désactiver DNSSEC pour la zone. Cette opération peut prendre 24 heures ou plus en fonction de la latence de propagation induite par le bureau d'enregistrement ou le registre et la mise en cache du résolveur.

Une fois que les enregistrements DS ne sont plus visibles dans aucun des résolveurs, vous pouvez désactiver DNSSEC pour la zone en toute sécurité.

Étapes suivantes