Le système de noms de domaine (DNS) traduit les noms de domaine lisibles par l'humain comme google.com en adresse IP lisible par la machine d'un site Web, comme 172.217.3.206. Pour prévenir les menaces sur votre domaine telles que les attaques d'empoisonnement du cache et la mystification du DNS, configurez les extensions de sécurité DNS (DNSSEC).
Activer le protocole DNSSEC pour votre domaine
Important :
- Certains domaines de premier niveau (TLD) acceptent les enregistrements de clé publique DNS (DNSKEY) au lieu des enregistrements Delegation Signer (DS).
- Si vous avez initialement acheté votre nom de domaine auprès de Google Domains, le protocole DNSSEC pourrait déjà être configuré pour vous.
- Si votre domaine a un enregistrement ALIAS, vous ne pouvez pas activer le protocole DNSSEC. Apprenez-en plus sur les enregistrements ALIAS.
Pour configurer le protocole DNSSEC pour votre domaine, vous devez ajouter des enregistrements de ressources propres à votre zone de DNS ou de signature et les publier pour votre domaine. Si vous utilisez la configuration DNSSEC automatique de Google Domains, nous gérons ces deux étapes pour vous. Il peut s'écouler jusqu'à 24 heures pour que les modifications soient mises à jour sur Internet avant que le DNSSEC ne soit actif.
- Connectez-vous à Google Domains.
- Sélectionnez votre domaine.
- En haut à gauche, sélectionnez Menu DNS.
- Sélectionnez Serveurs de noms par défaut ou Serveurs de noms personnalisés.
- Faites défiler jusqu'à la carte ou la case « DNSSEC ».
- Pour les serveurs de noms par défaut : cliquez sur Activer. Si le protocole DNSSEC est déjà activé, « DNSSEC activé » s'affiche.
- Pour les serveurs de noms personnalisés : cliquez sur Gérer les enregistrements DS et saisissez les renseignements de votre fournisseur DNS.
- Entrez les valeurs fournies par votre fournisseur DNS tiers pour le serveur de noms personnalisé DNSSEC ou DNSKEY.
- Pour ajouter plusieurs enregistrements en même temps, cliquez sur Créer un enregistrement.
- Cliquez sur Enregistrer.
Conseils :
- Si vous choisissez de ne pas attendre la publication de vos enregistrements DNSKEY, sous « DNSSEC », développez la carte DNSSEC et cliquez sur Publier les enregistrements maintenant.
- Une fois le protocole DNSSEC activé, Google Domains signe automatiquement votre zone DNS et publie vos enregistrements Delegation Signer (DS) dans un délai de deux heures.
Si vous utilisez des serveurs de noms personnalisés, vous devez collaborer avec votre fournisseur DNS tiers pour signer la zone DNS pour votre domaine. Pour chaque enregistrement DNSKEY, obtenez les valeurs suivantes auprès de votre fournisseur DNS :
- Étiquette clé : valeur numérique qui renvoie à un enregistrement DNSKEY.
- Algorithme : algorithme de chiffrement derrière la création de la clé de sécurité dans l'enregistrement DNSKEY. Habituellement, cet algorithme est lié à une fonction de hachage comme RSA ou SHA1.
- Type d'empreinte numérique : algorithme utilisé pour créer l'empreinte numérique d'un enregistrement DNSKEY. Cet algorithme est aussi appelé algorithme d'empreinte numérique, hachage d'empreinte numérique ou fonction de hachage d'empreinte numérique.
- Empreinte numérique : valeur de hachage de l'enregistrement DNSKEY qui permet de déterminer celui-ci de manière unique, sans dévoiler la valeur même de la clé. En fonction du type d'empreinte numérique, les longueurs suivantes sont possibles :
- SHA1 : 40 chiffres hexadécimaux
- SHA256 : 64 chiffres hexadécimaux
- SHA384 : 96 chiffres hexadécimaux
Si vous utilisez des serveurs de noms personnalisés, contactez votre fournisseur DNS tiers pour signer la zone DNS pour votre domaine. Pour chaque enregistrement DNSKEY, obtenez les valeurs suivantes auprès de votre fournisseur DNS :
- Drapeaux : renseignements permettant aux DNS et aux résolveurs de savoir comment interpréter l'enregistrement DNSKEY. Cette valeur est définie à 256 ou 257 par défaut.
- Protocole : indique la version du protocole DNSSEC utilisée. Cette valeur est toujours définie à 3.
- Algorithme : indique le type d'algorithme cryptographique utilisé pour la biclé publique/privée.
- Clé publique : la clé que les résolveurs DNS utilisent pour vérifier que les enregistrements DNS n'ont pas été falsifiés.
Désactiver le protocole DNSSEC pour votre domaine
- Connectez-vous à Google Domains.
- Sélectionnez votre domaine.
- Sélectionnez Menu DNS.
- Faites défiler jusqu'à la carte ou la case « DNSSEC ».
- Pour les serveurs de noms par défaut : sélectionnez Désactiver.
- Pour les serveurs de noms personnalisés : à côté de chaque enregistrement, cliquez sur Supprimer .
- Sélectionnez Enregistrer.
Conseils :
- Vous pouvez collaborer avec votre fournisseur de services DNS pour retirer de votre zone les enregistrements de ressources liés aux DNSSEC dans le cas des serveurs de noms personnalisés.
- Lorsque vous désactivez le protocole DNSSEC, Google Domains annule immédiatement la publication des enregistrements DS de votre domaine. Une fois que cette mise à jour est propagée sur Internet, votre domaine n'est plus protégé par le protocole DNSSEC. Cette opération peut prendre jusqu'à 48 heures. Pour terminer la désactivation du protocole DNSSEC, il est possible que Google Domains puisse annuler la signature de votre zone DNS.
Utiliser le DNS dynamique
Important : le DNS dynamique fonctionne avec les adresses IPv4 et IPv6, mais pas avec les deux en même temps.
Le DNS dynamique permet de diriger votre domaine ou votre sous-domaine vers une ressource située derrière une passerelle, laquelle est assortie d'une adresse IP attribuée dynamiquement. Pour utiliser le DNS dynamique, vous devez utiliser les serveurs de noms par défaut de Google Domains.
Si vous configurez le DNS dynamique avec Google Domains, vous pourrez :
- créer un enregistrement A ou AAAA pour votre domaine ou votre sous-domaine qui permet aux serveurs de noms de Google d'attendre une adresse IP dynamique;
- générer un nom d'utilisateur et un mot de passe que votre hôte ou votre serveur peut utiliser pour acheminer la nouvelle adresse IP aux serveurs de noms de Google.
Après avoir configuré le DNS dynamique, vous devez configurer un logiciel client sur votre hôte, votre serveur ou votre passerelle qui pourra :
- détecter les changements d'adresse IP;
- utilise le nom d'utilisateur et le mot de passe générés;
- communiquer la nouvelle adresse aux serveurs de noms de Google.
Configurer le DNS dynamique
- Sur votre ordinateur, connectez-vous à Google Domains.
- Sélectionnez votre domaine.
- Cliquez sur Menu DNS.
- Sélectionnez Serveurs de noms par défaut Google Domains (actifs).
- Conseil : Si « Personnalisé (actif) » est sélectionné, c'est que vous disposez déjà de serveurs de noms personnalisés et vous ne pouvez pas utiliser le service DNS dynamique de Google Domains.
- Cliquez sur Afficher les paramètres avancés.
- Cliquez sur Gérer le DNS dynamique Créer un enregistrement.
- Pour attribuer une adresse IP dynamique, entrez le nom du sous-domaine ou du domaine racine.
- Cliquez sur Enregistrer.
Voici quelques autres options vous permettant de gérer votre DNS dynamique :
- Pour afficher les valeurs d'enregistrement : à côté de l'enregistrement, cliquez sur le triangle.
- Pour afficher le nom d'utilisateur et le mot de passe créés pour cet enregistrement : Cliquez sur Afficher les authentifiants.
- Pour configurer votre passerelle ou votre logiciel client afin de contacter les serveurs de noms de Google : utilisez le nom d'utilisateur et le mot de passe créés pour l'enregistrement.
- Pour supprimer un enregistrement :
- Accédez à « Enregistrements de ressources ».
- À côté de « DNS dynamique », cliquez sur le triangle.
- Sélectionnez Supprimer.
Configurer un programme client sur votre passerelle, votre hôte ou votre serveur
Plusieurs clients de DNS dynamique populaires sont actuellement utilisés, notamment DDclient et INADYN. La plupart des routeurs peuvent détecter les modifications IP et les communiquer aux serveurs de noms par l'entremise de leur logiciel intégré.
Configurez votre client DNS dynamique avec les éléments suivants :
- Fournisseur, DNS ou service : le nom de votre fournisseur DNS
- Nom d'utilisateur ou authentifiant : le nom d'utilisateur généré par l'enregistrement de type DNS dynamique
- Mot de passe ou authentifiant : le mot de passe généré par l'enregistrement de type DNS dynamique
Après avoir créé l'enregistrement et configuré votre logiciel client, testez l'enregistrement. Saisissez l'adresse du sous-domaine ou du domaine dans un navigateur Web, ou un client approprié, et vérifiez qu'une connexion à la bonne ressource s'établit.
Conseil : Google Domains utilise le protocole dyndns2.
Exemples
Google Domains est maintenant pris en charge par DDclient.
DDclient avec prise en charge de Google Domains |
Entrées du fichier ddclient.conf :
|
Exemples de configuration client généraux :
DDclient sans prise en charge de Google Domains |
INADYN |
Exemples d'entrées du fichier ddclient.conf :
|
Ajoutez les entrées suivantes à votre fichier inadyn.conf
|
Mettez à jour votre enregistrement DNS dynamique avec l'API
domains.google.com/nic/update
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4
Définir un agent utilisateur
Important : Votre requête doit aussi comprendre un agent utilisateur.
Lors d'un test utilisant l'URL ci-dessus, domains.google.com/nic/update
les navigateurs Web ajoutent généralement un agent utilisateur pour vous. La requête HTTP finale envoyée à nos serveurs devrait ressembler à ceci :
Exemple de demande HTTP :
POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com
Paramètres de requête :
Paramètre | Obligatoire ou facultatif | Description |
username:password |
Obligatoire | Le nom d'utilisateur et le mot de passe associés à l'hôte faisant l'objet de la mise à jour. |
hostname |
Obligatoire | Le nom d'hôte faisant l'objet de la mise à jour. |
myip |
|
L'adresse IP avec laquelle l'hôte est configuré. Si aucune adresse n'est fournie, l'adresse IP de l'agent qui a envoyé la requête sera utilisée.
Important : Le paramètre |
hors connexion |
Facultatif | Ce paramètre règle l'état de l'hôte à « hors ligne ». Si une demande de mise à jour est envoyée à un hôte hors ligne, l'état « hors ligne » est automatiquement retiré. Les valeurs permises sont :
|
Une fois la requête traitée, l'une des réponses suivantes est renvoyée.
Important : Assurez-vous d'interpréter la réponse obtenue correctement, à défaut de quoi votre client risquerait d'être bloqué de notre système.
Réponse | État | Description |
good {adresse IP de l'utilisateur} |
Opération réussie | La mise à jour s'est effectuée correctement. N'essayez pas d'effectuer une autre mise à jour si votre adresse IP demeure la même. |
nochg {adresse IP de l'utilisateur} |
Opération réussie | L'adresse IP fournie est déjà définie pour cet hôte. N'essayez pas d'effectuer une autre mise à jour si votre adresse IP demeure la même. |
nohost |
Erreur | Le nom d'hôte n'existe pas, ou le DNS de l'hôte n'est pas activé. |
badauth |
Erreur | La combinaison nom d'utilisateur/mot de passe n'est pas valide pour l'hôte spécifié. |
notfqdn |
Erreur | Le nom d'hôte fourni n'est pas un nom de domaine complet et valide. |
badagent |
Erreur | Votre client de DNS dynamique effectue des requêtes erronées. Assurez-vous que l'agent utilisateur est défini dans la requête. |
abuse |
Erreur | L'accès au DNS dynamique de ce nom d'hôte a été bloqué en raison de l'échec de l'interprétation des réponses précédentes. |
911 |
Erreur | Une erreur est survenue de notre côté. Veuillez attendre cinq minutes, puis réessayer. |
conflit A |
Erreur | Un enregistrement de ressources A ou AAAA est en conflit avec la mise à jour. Supprimez l'enregistrement de ressources indiqué dans la page des paramètres DNS, puis réessayez la mise à jour. |