Présentation des extensions de sécurité DNS (DNSSEC)
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Les extensions de sécurité DNS (DNSSEC, Domain Name System Security Extensions) sont une fonctionnalité du système DNS qui authentifie les réponses aux recherches de noms de domaine.
Elles n'offrent aucune protection de la confidentialité pour ces recherches, mais empêchent les pirates informatiques de manipuler ou de contaminer les réponses aux requêtes DNS.
Pour protéger les domaines contre les attaques de spoofing et d'empoisonnement, activez et configurez DNSSEC aux emplacements suivants :
Zone DNS : si vous activez DNSSEC pour une zone, Cloud DNS gère automatiquement la création et la rotation des clés DNSSEC (enregistrements DNSKEY), ainsi que la signature des données de zone à l'aide des enregistrements RRSIG (signature numérique d'enregistrement de ressources).
Registre de domaines de premier niveau (TLD) (pour example.com, il s'agit de .com) : dans votre registre de TLD, vous devez disposer d'un enregistrement DS qui authentifie un enregistrement DNSKEY dans votre zone. Pour ce faire, vous devez activer DNSSEC pour votre service d'enregistrement de noms de domaine.
Résolveur DNS : afin de bénéficier d'une protection DNSSEC totale, vous devez recourir à un résolveur DNS qui valide les signatures pour les domaines signés DNSSEC. Vous pouvez activer la validation pour des systèmes individuels ou pour vos résolveurs de mise en cache locaux si vous administrez les services DNS de votre réseau.
Pour en savoir plus sur la validation DNSSEC, consultez les ressources suivantes :
Vous pouvez également configurer des systèmes de sorte qu'ils utilisent des résolveurs publics pour la validation DNSSEC, tels que le DNS public de Google et le DNS public de Verisign.
Le deuxième point permet de limiter les noms de domaine avec lesquels DNSSEC peut opérer.
Le service d'enregistrement et le registre doivent tous deux être compatibles avec DNSSEC pour le domaine de premier niveau que vous utilisez. Si vous ne pouvez pas ajouter d'enregistrements DS à l'aide de votre service d'enregistrement de noms de domaine, l'activation de DNSSEC dans Cloud DNS n'a aucun effet.
Avant d'activer DNSSEC, consultez les ressources suivantes :
la documentation de DNSSEC pour votre service d'enregistrement de noms de domaine et votre registre de domaines de premier niveau ;
la liste de l'ICANN des bureaux d'enregistrement de noms de domaine pour vérifier la compatibilité de DNSSEC avec votre domaine.
Si le registre du domaine de premier niveau est compatible avec DNSSEC, mais que votre bureau d'enregistrement ne l'est pas (ou n'est pas compatible avec ce domaine de premier niveau), vous pouvez transférer vos domaines vers un autre bureau d'enregistrement compatible. Une fois l'opération terminée, vous pouvez activer DNSSEC pour le domaine.
Opérations de gestion
Pour obtenir des instructions détaillées sur la gestion de DNSSEC, consultez les ressources suivantes :
Types de jeux d'enregistrements améliorés par DNSSEC
Pour en savoir plus sur les types de jeux d'enregistrements et les autres types d'enregistrements, consultez les ressources suivantes :
Pour contrôler les autorités de certification publiques (CA) pouvant générer des certificats TLS ou autres pour votre domaine, consultez la section Enregistrements CAA.
Pour activer le chiffrement opportuniste via des tunnels IPsec, consultez la section Enregistrements IPSECKEY.
Types d'enregistrements DNS avec zones sécurisées DNSSEC
Pour en savoir plus sur les types d'enregistrements DNS et les autres types d'enregistrements, consultez la ressource suivante :
Pour autoriser les applications clientes SSH à valider les serveurs SSH, consultez la section Enregistrements SSHFP.
Migration ou transfert de zones où DNSSEC est activé
Cloud DNS est compatible avec la migration des zones où DNSSEC est activé, où DNSSEC a été activé au niveau du registre de domaine sans rompre la chaîne de confiance. Vous pouvez migrer des zones vers ou depuis d'autres opérateurs DNS qui sont également compatibles avec la migration.
Si votre domaine existant est hébergé par votre bureau d'enregistrement, nous vous recommandons de migrer les serveurs de noms vers Cloud DNS avant de les transférer vers un autre bureau d'enregistrement.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/11 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/08/11 (UTC)."],[[["\u003cp\u003eDNSSEC authenticates domain name lookup responses, preventing attackers from manipulating or poisoning them, but it does not offer privacy for these lookups.\u003c/p\u003e\n"],["\u003cp\u003eTo fully protect domains with DNSSEC, it must be enabled in the DNS zone, the top-level domain (TLD) registry, and the DNS resolver.\u003c/p\u003e\n"],["\u003cp\u003eDNSSEC's functionality is contingent on both the domain registrar and the registry supporting the TLD, otherwise enabling DNSSEC in Cloud DNS will have no effect.\u003c/p\u003e\n"],["\u003cp\u003eCloud DNS supports the migration of DNSSEC-enabled zones to and from other DNS operators without disrupting the chain of trust.\u003c/p\u003e\n"],["\u003cp\u003eBefore enabling DNSSEC, verify that your domain registrar and TLD registry both support DNSSEC and check for registrar-specific instructions.\u003c/p\u003e\n"]]],[],null,["# DNS Security Extensions (DNSSEC) overview\n\nThe Domain Name System Security Extensions (DNSSEC) is a feature of the Domain\nName System (DNS) that authenticates responses to domain name lookups.\nIt does *not* provide privacy protections for those lookups,\nbut prevents attackers from manipulating or poisoning the responses to DNS\nrequests.\n\nTo protect domains from spoofing and poisoning attacks, enable and configure\nDNSSEC in the following places:\n\n1. The DNS zone. If you [enable DNSSEC](/dns/docs/dnssec-config#enabling) for\n a zone, Cloud DNS automatically manages the creation and rotation of\n DNSSEC keys (DNSKEY records) and the signing of zone data with resource\n record digital signature (RRSIG) records.\n\n2. The top-level domain (TLD) registry (for `example.com`, this would be `.com`).\n In your TLD registry, you must have a DS record that authenticates a DNSKEY\n record in your zone. Do this by [activating DNSSEC](/dns/docs/registrars#add-ds)\n at your domain registrar.\n\n3. The DNS resolver. For full DNSSEC protection, you must use a DNS resolver\n that *validates* signatures for DNSSEC-signed domains. You can enable\n validation for individual systems or your local caching resolvers if you\n administer your network's DNS services.\n\n For more information about DNSSEC validation, see the following resources:\n - [Do you have DNSSEC validation enabled?](https://blog.apnic.net/2017/05/11/dnssec-validation-enabled/)\n - [Deploying DNSSEC with BIND and Ubuntu Server\n (Part 1)](https://blog.apnic.net/2019/05/23/how-to-deploying-dnssec-with-bind-and-ubuntu-server/)\n - [DNSSEC Guide: Chapter 3. Validation](https://dnsinstitute.com/documentation/dnssec-guide/ch03s03.html)\n - [DNSSEC](https://wiki.debian.org/DNSSEC)\n\n You can also configure systems to use public resolvers that validate DNSSEC,\n notably [Google Public DNS](https://developers.google.com/speed/public-dns/docs/using)\n and [Verisign Public DNS](https://www.verisign.com/security-services/public-dns/index.xhtml).\n\nThe second point limits the domain names where DNSSEC can work.\nBoth the [registrar and registry](https://support.google.com/domains/answer/3251189)\nmust support DNSSEC for the TLD that you are using. If you cannot add a DS\nrecord through your domain registrar to activate DNSSEC,\nenabling DNSSEC in Cloud DNS has no effect.\n\nBefore enabling DNSSEC, check the following resources:\n\n- The DNSSEC documentation for both your domain registrar and TLD registry\n- The [Google Cloud community tutorial's](/community/tutorials/dnssec-cloud-dns-domains#domain_registrar-specific_instructions) domain registrar-specific instructions\n- The [ICANN list](https://www.icann.org/search/#!/?searchText=domain%20registrar%20DNSSEC%20support) of domain registrar DNSSEC support to confirm DNSSEC support for your domain.\n\nIf the TLD registry supports DNSSEC, but your registrar does not\n(or does not support it for that TLD), you might be able to transfer\nyour domains to a different registrar that does. After you have completed that\nprocess, you can activate DNSSEC for the domain.\n\nManagement operations\n---------------------\n\nFor step-by-step instructions for managing DNSSEC, see the following resources:\n\n- To change the DNSSEC state of the zone from `Transfer` to `On`, see\n [Leaving DNSSEC transfer state](/dns/docs/dnssec-config#leaving-transfer).\n\n- To enable DNSSEC for delegated subdomains, see\n [Delegating DNSSEC-signed subdomains](/dns/docs/dnssec-advanced#subdelegation).\n\nRecord set types enhanced by DNSSEC\n-----------------------------------\n\nFor more information about record set types and other record types, see the\nfollowing resources:\n\n- To control which public certificate authorities (CAs) can generate TLS or\n other certificates for your domain, see\n [CAA records](/dns/docs/dnssec-advanced#caa).\n\n- To enable opportunistic encryption through IPsec tunnels, see\n [IPSECKEY records](/dns/docs/dnssec-advanced#ipseckey).\n\nDNS record types with DNSSEC-secured zones\n------------------------------------------\n\nFor more information about DNS record types and other record types, see the\nfollowing resource:\n\n- To enable SSH client applications to validate SSH servers, see [SSHFP records](/dns/docs/dnssec-advanced#sshfp).\n\nMigration or transfer of DNSSEC-enabled zones\n---------------------------------------------\n\nCloud DNS supports migrating DNSSEC-enabled zones where DNSSEC has been\nactivated at the domain registry without breaking the chain of trust. You can\nmigrate zones to or from other DNS operators that also support migration.\n\n- To migrate a DNSSEC-signed zone to Cloud DNS, see\n [Migrate DNSSEC-signed zones to Cloud DNS](/dns/docs/dnssec-migrate#migrating-to).\n\n- To migrate a DNSSEC-signed zone to another DNS operator, see\n [Migrate DNSSEC-signed zones from Cloud DNS](/dns/docs/dnssec-migrate#migrating-from).\n\nIf your existing domain is hosted by your registrar, we recommend migrating the\nname servers to Cloud DNS before transferring to another registrar.\n\nWhat's next\n-----------\n\n- To view DNSSEC key records, see [View DNSSEC keys](/dns/docs/dnskeys).\n- To work with managed zones, see [Create, modify, and delete zones](/dns/docs/zones).\n- To find solutions for common issues that you might encounter when using Cloud DNS, see [Troubleshooting](/dns/docs/troubleshooting).\n- To get an overview of Cloud DNS, see [Cloud DNS overview](/dns/docs/overview)."]]
