Cette page explique comment activer et désactiver DNSSEC (Domain Name System Security Extensions) au niveau de votre bureau d'enregistrement de noms de domaine.
Pour obtenir une présentation des concepts liés à DNSSEC, consultez la présentation de DNSSEC.
Activer DNSSEC au niveau de votre bureau d'enregistrement de noms de domaine
Après avoir activé DNSSEC pour votre zone, vous devez aussi l'activer au niveau de votre bureau d'enregistrement. Pour ce faire, créez un enregistrement DS pour votre domaine dans la zone parente afin que les résolveurs sachent que votre domaine est compatible avec DNSSEC et qu'il est capable de valider ses données. Chaque bureau d'enregistrement possède sa propre procédure de création d'enregistrements DS, mais de nombreux bureaux proposent un formulaire de site Web.
Pour obtenir des instructions spécifiques à de nombreux bureaux d'enregistrement de noms de domaine, consultez le tutoriel de la communauté Google Cloud Activer DNSSEC pour les domaines Cloud DNS.
Veillez à tester soigneusement votre configuration DNS avant d'activer DNSSEC sur les domaines importants. Une fois DNSSEC activé, l'opération pour le désactiver peut prendre 24 heures ou plus si nécessaire en raison des délais de propagation et de la mise en cache du résolveur.
Obtenir les enregistrements DS
Pour obtenir les enregistrements DS de votre zone, procédez comme suit:
Console
Dans Google Cloud Console, accédez à la page Créer une zone DNS.
Cliquez sur la zone pour laquelle vous souhaitez les enregistrements DS.
Cliquez sur Configuration du service d'enregistrement.
Copiez les enregistrements DS depuis la boîte de dialogue. Les enregistrements DS se présentent comme suit:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Exécutez la commande gcloud dns dns-keys list
.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Remplacez les éléments suivants :
MANAGED_ZONE
: nom de la zone gérée
Vous obtenez un résultat semblable à ce qui suit :
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Désactiver DNSSEC au niveau de votre bureau d'enregistrement de noms de domaine
Avant de désactiver DNSSEC pour une zone gérée que vous souhaitez toujours utiliser, vous devez le désactiver, pour cette zone, au niveau de votre bureau d'enregistrement de noms de domaine. De cette façon, les résolveurs chargés de la validation DNSSEC seront toujours en mesure de résoudre les noms dans cette zone.
Pour désactiver DNSSEC, supprimez tous les enregistrements DS de votre domaine dans la zone parente. Ainsi, les résolveurs ne tenteront plus d'utiliser DNSSEC pour valider les données de votre domaine. Chaque bureau d'enregistrement possède sa propre procédure de suppression d'enregistrements DS, mais de nombreux bureaux proposent un formulaire de site Web.
Pour obtenir des instructions spécifiques à de nombreux bureaux d'enregistrement de noms de domaine, consultez le tutoriel de la communauté Google Cloud Activer DNSSEC pour les domaines Cloud DNS.
Une fois l'enregistrement DS supprimé du bureau d'enregistrement, vous devez attendre que sa suppression se propage à tous les résolveurs avant de désactiver DNSSEC pour la zone. Cette opération peut prendre 24 heures ou plus en fonction de la latence de propagation induite par le bureau d'enregistrement ou le registre et la mise en cache du résolveur.
Une fois que les enregistrements DS ne sont plus visibles dans aucun des résolveurs, vous pouvez désactiver DNSSEC pour la zone en toute sécurité.
Étape suivante
- Pour obtenir des informations sur les configurations DNSSEC spécifiques, consultez la page Utiliser le protocole DNSSEC avancé.
- Pour trouver des solutions aux problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud DNS, consultez la page Dépannage.
- Pour en savoir plus sur Cloud DNS, consultez la page Présentation de Cloud DNS.