Cette page explique comment activer et désactiver DNSSEC (Domain Name System Security Extensions au niveau de votre bureau d'enregistrement de noms de domaine.
Pour en savoir plus sur DNSSEC, consultez la présentation de DNSSEC.
Activer DNSSEC au niveau de votre bureau d'enregistrement de noms de domaine
Après avoir activé DNSSEC pour les zones publiques gérées existantes, vous devez activer DNSSEC auprès de votre bureau d'enregistrement de noms de domaine. Pour ce faire, créez un enregistrement DS pour votre domaine dans la zone parente afin que les résolveurs puissent identifier que votre domaine est compatible avec DNSSEC et qu'il est capable de valider ses données.
Chaque bureau d'enregistrement possède sa propre procédure de création d'enregistrements DS. De nombreux bureaux d'enregistrement proposent un formulaire de site Web. Pour en savoir plus, consultez la documentation de votre bureau d'enregistrement.
Une fois DNSSEC activé, l'enregistrement DS doit se propager dans l'ensemble du DNS. Cette procédure peut prendre 24 heures ou plus, en fonction des valeurs valeur TTL (Time To Live) que vous définissez pour vos enregistrements DNS et du comportement de mise en cache des différents résolveurs DNS.
Avant d'activer DNSSEC sur des domaines importants, testez soigneusement votre configuration DNS.
Obtenir les enregistrements DS
Pour obtenir les enregistrements DS de votre zone, procédez comme suit:
Console
Dans Google Cloud Console, accédez à la page Créer une zone DNS.
Cliquez sur la zone pour laquelle vous souhaitez les enregistrements DS.
Cliquez sur Configuration du service d'enregistrement.
Copiez les enregistrements DS depuis la boîte de dialogue. Les enregistrements DS se présentent comme suit:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Exécutez la commande gcloud dns dns-keys list.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Remplacez les éléments suivants :
MANAGED_ZONE: nom de la zone gérée
Vous obtenez un résultat semblable à ce qui suit :
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Désactiver DNSSEC au niveau de votre bureau d'enregistrement de noms de domaine
Avant de désactiver DNSSEC pour une zone gérée que vous souhaitez toujours utiliser, vous devez désactiver DNSSEC pour la zone au niveau de votre bureau d'enregistrement de noms de domaine, afin de vous assurer que les résolveurs chargés de la validation DNSSEC seront toujours en mesure de résoudre les noms dans la zone.
Pour désactiver DNSSEC, supprimez tous les enregistrements DS de votre domaine dans la zone parente. Cette action empêche les résolveurs d'utiliser DNSSEC pour valider les données de votre domaine.
Une fois que vous avez supprimé les enregistrements DS du bureau d'enregistrement, vous devez attendre que leur suppression se propage à tous les résolveurs avant de pouvoir désactiver DNSSEC pour la zone. Cette opération peut prendre 24 heures ou plus en fonction de la latence de propagation induite par le bureau d'enregistrement, le registre et la mise en cache du résolveur.
Une fois que vous avez confirmé que l'enregistrement DS a été supprimé de votre bureau d'enregistrement et qu'il n'est plus accessible aux résolveurs, vous pouvez désactiver DNSSEC pour la zone en toute sécurité.
Étape suivante
- Pour obtenir des informations sur les configurations DNSSEC spécifiques, consultez la page Utiliser le protocole DNSSEC avancé.
- Pour trouver des solutions aux problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud DNS, consultez la page Dépannage.
- Pour en savoir plus sur Cloud DNS, consultez la page Présentation de Cloud DNS.