Configurer la sécurité DNSSEC

Le système DNSSEC (Domain Name System Security Extensions) protège votre domaine des attaques DNS telles que l'empoisonnement du cache DNS et le spoofing DNS.

Changer le paramètre DNSSEC

La façon dont vous pouvez activer DNSSEC dépend de la manière dont vous avez configuré vos serveurs de noms. Choisissez l'une des méthodes de mise en œuvre ci-dessous en fonction de votre configuration.

Nous vous recommandons vivement de ne pas modifier vos serveurs de noms lorsque DNSSEC est activé, car la résolution de votre domaine risque d'échouer.

Serveurs de noms Google Domains

Si vous utilisez des serveurs de noms Google Domains, vous pouvez activer DNSSEC en un seul clic. Procédez comme suit :

  1. Accédez à Google Domains : domains.google.com/registrar.
  2. Dans le volet de navigation de gauche, cliquez sur Mes domaines.
  3. Cherchez le nom de domaine pour lequel vous souhaitez modifier le paramètre DNSSEC. Sélectionnez l'onglet DNS.
  4. Faites défiler la page jusqu'à la section DNSSEC.
  5. Cliquez sur Activer DNSSEC/Désactiver DNSSEC en fonction du paramètre souhaité.

La procédure complète d'activation de DNSSEC peut prendre environ deux heures. Si vous souhaitez désactiver DNSSEC, un délai de deux jours peut s'écouler avant que la désactivation ne soit effective.

Serveurs de noms personnalisés

Si vous utilisez des serveurs de noms personnalisés, vous pouvez avoir besoin d'un fournisseur DNS tiers pour configurer DNSSEC pour votre domaine, et vous devez activer DNSSEC sur Google Domains. Pour ce faire, procédez comme suit :
  1. Identifiez le ou les enregistrements DNSKEY que votre fournisseur DNS a créés pour votre domaine.
  2. Procurez-vous les valeurs suivantes auprès de votre fournisseur DNS :
    • Tag clé : valeur numérique faisant référence à un enregistrement DNSKEY existant.
    • Algorithme : algorithme de chiffrement utilisé pour créer la clé de sécurité dans l'enregistrement DNSKEY. Il est généralement associé à une fonction de hachage ; RSA/SHA1, par exemple.
    • Type de récapitulatif : algorithme utilisé pour créer le récapitulatif de l'enregistrement DNSKEY, également appelé "algorithme récapitulatif", "hachage récapitulatif" ou "fonction de hachage récapitulative".
    • Récapitulatif : valeur hachée de l'enregistrement DNSKEY qui l'identifie de manière unique, sans rendre publique la valeur de la clé. La longueur varie en fonction du type de récapitulatif :
      1. SHA1 : 40 chiffres hexadécimaux
      2. SHA256 : 64 chiffres hexadécimaux
      3. SHA384 : 96 chiffres hexadécimaux
  3. Pour chaque enregistrement DNSKEY, vous devez créer au moins un enregistrement de ressources DS (signataire de délégation). Procédez comme suit :
    1. Accédez à Google Domains : domains.google.com/registrar
    2. Dans le volet de navigation de gauche, cliquez sur Mes domaines
    3. Cherchez le nom de domaine pour lequel vous souhaitez créer un enregistrement DS. Cliquez sur l'onglet DNS.
    4. Faites défiler la page jusqu'à la section "DNSSEC".
    5. Créez une entrée en utilisant les valeurs indiquées dans les étapes précédentes. 
Cet article vous a-t-il été utile ?
Comment pouvons-nous l'améliorer ?