Quelle est la procédure recommandée pour changer de serveur de noms avec DNSSEC activé?
Dois-je désactiver l'enregistrement DNSSEC DS et DNSSEC, le laisser se propager, puis modifier les serveurs de noms uniquement après que celui-ci s'est bien propagé?
Si vous utilisez DNSSEC, lorsque vous passez d'un fournisseur DNS à un autre, vous devez prendre des mesures pour que la résolution DNS se poursuive pendant la transition.
Votre enregistrement DS est lié à la clé DNSSEC spécifique utilisée pour signer votre zone. Si vous passez d'un fournisseur DNSSEC à un fournisseur qui ne prend pas en charge DNSSEC, vous devez supprimer votre enregistrement DS avant de basculer.
La même règle s'applique si vous passez d'un fournisseur DNS avec DNSSEC à un autre fournisseur DNS avec DNSSEC. Vous devez d’abord supprimer votre enregistrement DS, puis passer au nouveau fournisseur DNS, puis vous demander de vous fournir le nouvel enregistrement DS que vous pouvez ajouter aux serveurs de noms de registre de votre domaine.
J'ai trouvé qu'il y a un délai de propagation DNSSEC, l'approche est donc la suivante:
- Désactiver DNSSEC chez Registrar
- Attendre 24 heures
- Désactiver DNSSEC sur le serveur de noms
- Changer de serveur de noms
C'était la réponse que je cherchais et que j'ai finalement trouvée par le biais d'autres ressources.
Si vous passez au DNS Google Cloud ou à un autre NS prenant en charge l'état de transfert DNSSEC, vous pouvez définir le DNSSEC de votre NS entrant sur l'état de transfert, ce qui vous permet de basculer sans temps d'arrêt tout en restant sécurisé. La procédure consiste essentiellement à utiliser la même signature que la précédente NS, puis à ajouter DS sur le registraire. Si DNSSEC est activé sur le NS mais pas sur le registraire, la résolution est toujours valable , ce qui est essentiel pour éviter les temps d'arrêt.
Vers le cloud en nuage https://cloud.google.com/dns/dnssec-config?hl=en_US&_ga=2.243006528.-373427420.1549749210#migrating-to
Depuis le DNS en nuage https://cloud.google.com/dns/dnssec-config?hl=en_US&_ga=2.243006528.-373427420.1524749210#migrating-from
De la docs:
vérifiez que Google Cloud DNS prend en charge le même algorithme KSK déjà utilisé. Sinon, désactivez DNSSEC sur votre registraire de domaine avant de migrer la zone et de mettre à jour les enregistrements de serveur de noms sur le registraire afin d'utiliser les serveurs de noms Cloud.
Si les algorithmes KSK et ZSK existants sont pris en charge dans Google Cloud DNS, vous pouvez effectuer la migration avec DNSSEC activé en procédant comme suit:
Créez une nouvelle zone signée DNSSEC dans l'état 'Transfert' DNSSEC. L'état de transfert vous permet de copier manuellement les clés DNSKEY dans la zone.
Du transfert pop-up:
Entrer dans l'état de transfert DNSSEC restera activé pour cette zone, mais uniquement dans l'état de transfert. L'état de transfert vous permet de migrer des zones DNS entre Google Cloud DNS et un autre fournisseur DNS tout en maintenant DNSSEC activé.
Il est prudent d'entrer dans l'état de transfert. Le DNS Google Cloud continue de desservir votre zone et de régénérer les signatures DNSSEC selon les besoins. Cependant, vous ne devez pas laisser votre zone en transfert indéfiniment. Les clés de signature de zone (ZSK) DNSSEC ne sont pas pivotées en état de transfert, ce qui réduit la sécurité de votre zone au fil du temps.