Présentation des extensions de sécurité DNS (DNSSEC)

Les extensions de sécurité DNS (DNSSEC, Domain Name System Security Extensions) sont une fonctionnalité du système DNS qui authentifie les réponses aux recherches de noms de domaine. Elles n'offrent aucune protection de la confidentialité pour ces recherches, mais empêchent les pirates informatiques de manipuler ou de contaminer les réponses aux requêtes DNS.

Pour protéger les domaines contre les attaques de spoofing et d'empoisonnement, activez et configurez DNSSEC aux emplacements suivants:

  1. Zone DNS. Si vous activez DNSSEC pour une zone, Cloud DNS gère automatiquement la création et la rotation des clés DNSSEC (enregistrements DNSKEY), ainsi que la signature des données de zone à l'aide des enregistrements RRSIG (signature numérique d'enregistrement de ressources).

  2. Le registre de domaines de premier niveau (TLD) (pour example.com, il s'agit de .com). Dans votre registre de TLD, vous devez disposer d'un enregistrement DS qui authentifie un enregistrement DNSKEY dans votre zone. Pour ce faire, vous devez activer DNSSEC pour votre service d'enregistrement de noms de domaine.

  3. Le résolveur DNS. Afin de bénéficier d'une protection DNSSEC totale, vous devez recourir à un résolveur DNS qui valide les signatures pour les domaines signés DNSSEC. Vous pouvez activer la validation pour des systèmes individuels ou pour vos résolveurs de mise en cache locaux si vous administrez les services DNS de votre réseau.

    Pour en savoir plus sur la validation DNSSEC, consultez les ressources suivantes :

    Vous pouvez également configurer des systèmes de sorte qu'ils utilisent des résolveurs publics pour la validation DNSSEC, tels que le DNS public de Google et le DNS public de Verisign.

Le deuxième point permet de limiter les noms de domaine avec lesquels DNSSEC peut opérer. Le service d'enregistrement et le registre doivent tous deux être compatibles avec DNSSEC pour le domaine de premier niveau que vous utilisez. Si vous ne pouvez pas ajouter d'enregistrements DS à l'aide de votre service d'enregistrement de noms de domaine, l'activation de DNSSEC dans Cloud DNS n'a aucun effet.

Avant d'activer DNSSEC, consultez les ressources suivantes :

  • la documentation de DNSSEC pour votre service d'enregistrement de noms de domaine et votre registre de domaines de premier niveau ;
  • les instructions spécifiques au bureau d'enregistrement de noms de domaine dans les tutoriels de la communauté Google Cloud ;
  • la liste de l'ICANN des bureaux d'enregistrement de noms de domaine pour vérifier la compatibilité de DNSSEC avec votre domaine.

Si le registre du domaine de premier niveau est compatible avec DNSSEC, mais que votre bureau d'enregistrement ne l'est pas (ou n'est pas compatible avec ce domaine de premier niveau), vous pouvez transférer vos domaines vers un autre bureau d'enregistrement compatible. Une fois l'opération terminée, vous pouvez activer DNSSEC pour le domaine.

Opérations de gestion

Pour obtenir des instructions détaillées sur la gestion de DNSSEC, consultez les ressources suivantes :

Types de jeux d'enregistrements améliorés par DNSSEC

Pour en savoir plus sur les types de jeux d'enregistrements et les autres types d'enregistrements, consultez les ressources suivantes :

  • Pour contrôler les autorités de certification publiques (CA) pouvant générer des certificats TLS ou autres pour votre domaine, consultez la section Enregistrements CAA.

  • Pour activer le chiffrement opportuniste via des tunnels IPsec, consultez la section Enregistrements IPSECKEY.

Types d'enregistrements DNS avec zones sécurisées DNSSEC

Pour en savoir plus sur les types d'enregistrements DNS et les autres types d'enregistrements, consultez la ressource suivante :

  • Pour autoriser les applications clientes SSH à valider les serveurs SSH, consultez la section Enregistrements SSHFP.

Migration ou transfert de zones où DNSSEC est activé

Cloud DNS est compatible avec la migration des zones où DNSSEC est activé, où DNSSEC a été activé au niveau du registre de domaine sans rompre la chaîne de confiance. Vous pouvez migrer des zones vers ou depuis d'autres opérateurs DNS qui sont également compatibles avec la migration.

Si votre domaine existant est hébergé par votre bureau d'enregistrement, nous vous recommandons de migrer les serveurs de noms vers Cloud DNS avant de les transférer vers un autre bureau d'enregistrement.

Étape suivante