Cette page a été traduite par l'API Cloud Translation.

Questions fréquentes

Général

Qu'est-ce que le DNS public de Google ?

Le DNS public de Google est un service de résolution DNS offert qui peut être utilisé à la place de votre fournisseur DNS actuel.

Pourquoi Google fait-il appel à un service DNS ?

Nous pensons qu'une infrastructure DNS plus rapide et plus sûre peut améliorer considérablement l'expérience de navigation sur le Web. Le DNS public de Google a apporté de nombreuses améliorations en termes de vitesse, de sécurité et de validité des résultats. Nous avons partagé ces améliorations dans notre documentation, afin de contribuer à une conversation continue au sein de la communauté Web.

Puis-je utiliser le DNS public de Google pour héberger mon nom de domaine ?

Le DNS public de Google n'est pas un service d'hébergement DNS faisant autorité et ne peut pas être utilisé comme tel. Si vous cherchez un serveur de noms fiable et programmable à l'aide de l'infrastructure de Google, essayez Cloud DNS de Google.

Le DNS public de Google permet-il de bloquer ou de filtrer les sites indésirables ?

Le DNS public de Google est purement un serveur de résolution et de mise en cache DNS. Il n'effectue aucun blocage ni filtrage d'aucune sorte, sauf qu'il peut ne pas résoudre certains domaines dans des cas exceptionnels si nous pensons que cela est nécessaire pour protéger les utilisateurs de Google contre les menaces de sécurité. Toutefois, nous pensons que les fonctionnalités de blocage sont généralement mieux adaptées au client. Si vous souhaitez activer cette fonctionnalité, vous devez envisager d'installer une application ou un module complémentaire côté client à cette fin.

Existe-t-il des dépendances multiproduits avec le DNS public de Google ?

Le DNS public de Google est un service indépendant.

Ai-je besoin d'un compte Google pour utiliser le DNS public de Google ?

L'utilisation du DNS public de Google ne nécessite aucun compte.

En quoi le DNS public de Google est-il différent du service DNS de mon FAI ou d'autres résolveurs DNS ouverts ? Comment savoir si c'est mieux ?

Les résolveurs ouverts et votre FAI proposent tous des services de résolution DNS. Nous vous invitons à essayer le DNS public de Google en tant qu'outil de résolution DNS principal ou secondaire, ainsi que d'autres services DNS secondaires. Vous devez prendre en compte de nombreux éléments lorsque vous identifiez un résolveur DNS qui répond à vos besoins, tels que la vitesse, la fiabilité, la sécurité et la validité des réponses. Contrairement au DNS public de Google, certains FAI et résolveurs ouverts bloquent, filtrent ou redirigent les réponses DNS à des fins commerciales.

Comment le DNS public de Google gère-t-il les domaines qui n'existent pas ?

Si vous émettez une requête pour un nom de domaine qui n'existe pas, le DNS public de Google renvoie toujours un enregistrement NXDOMAIN, conformément aux normes du protocole DNS. Le navigateur doit afficher cette réponse en tant qu'erreur DNS. Si, à la place, vous recevez une réponse autre qu'un message d'erreur (par exemple, si vous êtes redirigé vers une autre page), cela peut être dû aux raisons suivantes:

Une application côté client telle qu'un plug-in de navigateur affiche une page alternative pour un domaine inexistant.
Certains FAI peuvent intercepter et remplacer toutes les réponses NXDOMAIN par des réponses qui redirigent vers leurs propres serveurs. Si vous craignez que votre FAI intercepte les requêtes ou les réponses DNS publiques de Google, vous devez le contacter.

Le DNS public de Google sera-t-il utilisé pour diffuser des annonces à l'avenir ?

Nous nous engageons à préserver l'intégrité du protocole DNS. Le DNS public de Google ne renvoie jamais l'adresse d'un ad server pour un domaine inexistant.

Qu'est-ce que le DNS sur HTTPS (DoH) ?

Résolution DNS via une connexion HTTPS chiffrée. Le DNS sur HTTPS améliore considérablement la confidentialité et la sécurité entre un résolveur de bouchon et un résolveur récursif, et complète DNSSEC pour fournir des résolutions DNS authentifiées de bout en bout.

Utilisation et assistance

J'utilise un autre service DNS. Puis-je également utiliser le DNS public de Google ?

Vous pouvez définir le DNS public de Google comme votre résolveur DNS principal ou secondaire, en plus de votre résolveur DNS actuel. N'oubliez pas que les systèmes d'exploitation traitent les résolveurs DNS différemment : certains préfèrent votre résolveur DNS principal et n'utilisent le résolveur secondaire que si celui-ci ne répond pas, tandis que d'autres échangent à tour de rôle entre chacun des résolveurs.

En cas de différences de sécurité ou de filtrage entre les résolveurs configurés, vous obtenez le niveau de sécurité ou de filtrage le plus faible de tous les résolveurs. Le filtrage ou la redirection vers NXDOMAIN pour bloquer des pages peut parfois fonctionner, mais SERVFAIL ne bloque pas les domaines, sauf si tous les résolveurs renvoient SERVFAIL.

Le DNS public de Google convient-il à tous les types d'appareils connectés à Internet ?

Vous pouvez utiliser le DNS public de Google sur n'importe quel appareil réseau conforme aux normes. Si le DNS public de Google ne fonctionne pas correctement, veuillez nous en informer.

Puis-je exécuter le DNS public de Google sur mon ordinateur de bureau ?

Certains bureaux disposent de réseaux privés qui vous permettent d'accéder à des domaines auxquels vous n'avez pas accès en dehors de votre lieu de travail. L'utilisation du DNS public de Google peut limiter votre accès à ces domaines privés. Veuillez vérifier les règles de votre service informatique avant d'utiliser le DNS public de Google sur votre ordinateur de bureau.

Dans quels pays le DNS public de Google est-il disponible ?

Il est disponible pour les internautes du monde entier, mais votre expérience peut varier considérablement en fonction de votre position.

Le DNS public de Google fonctionne-t-il avec tous les FAI ?

Le DNS public de Google fonctionne avec la plupart des FAI, à condition que vous puissiez modifier les paramètres DNS de votre réseau.

Dois-je utiliser les deux adresses IP publiques Google ?

Vous pouvez utiliser Google comme service principal à l'aide de l'une des adresses IP. Veillez toutefois à ne pas spécifier la même adresse que les serveurs principal et secondaire.

Dans quel ordre faut-il spécifier les adresses IP ?

L'ordre n'a pas d'importance. L'adresse IP peut être votre serveur de noms principal ou secondaire.

Quel est le contrat de niveau de service du service ?

Il n'existe aucun contrat de niveau de service pour le service DNS public de Google.

Je gère un FAI. Puis-je rediriger mes utilisateurs vers le DNS public de Google ?

Les FAI qui utilisent le DNS public de Google doivent suivre les instructions fournies par le FAI pour vérifier s'ils ont besoin de faire quoi que ce soit avant d'envoyer des requêtes au DNS public de Google.

Comment puis-je contacter l'équipe DNS publique de Google ?

Nous vous recommandons de rejoindre nos groupes Google pour obtenir des informations utiles de la part de l'équipe et poser vos questions. Si vous rencontrez un problème et souhaitez le signaler, consultez la section Signaler des problèmes.

Technique

Comment le DNS public de Google sait-il où envoyer mes requêtes ?

Le routage Anycast redirige vos requêtes vers le serveur DNS public Google le plus proche. Pour en savoir plus sur le routage Anycast, consultez cet article Wikipédia.

Le DNS public de Google utilise les enregistrements NS publiés dans la zone racine DNS et les zones des domaines de premier niveau pour rechercher les noms et les adresses des serveurs DNS faisant autorité pour tous les domaines. Certains de ces serveurs de noms utilisent également le routage Anycast.

Où se trouvent actuellement vos serveurs ?

Les serveurs DNS publics de Google sont disponibles dans le monde entier. Il existe deux réponses à cette question : l'une pour les clients et l'autre pour les serveurs DNS à partir desquels le DNS public de Google obtient les réponses qu'il renvoie aux clients.

Lorsque les clients envoient des requêtes au DNS public de Google, ils sont acheminés vers l'emplacement le plus proche annonçant l'adresse Anycast utilisée (8.8.8.8, 8.8.4.4 ou l'une des adresses IPv6 de 2001:4860:4860::). Les emplacements spécifiques faisant la promotion de ces adresses Anycast changent en fonction des conditions du réseau et de la charge du trafic, et incluent presque tous les centres de données principaux et les points de présence périphériques (PoP) du réseau périphérique de Google.

Le DNS public de Google envoie des requêtes aux serveurs faisant autorité depuis les centres de données principaux et les emplacements des régions Google Cloud. Google publie la liste des plages d'adresses IP que le DNS public de Google peut utiliser pour interroger les serveurs DNS faisant autorité (toutes les plages de la liste ne sont pas utilisées). Vous pouvez l'utiliser pour la géolocalisation des requêtes DNS dépourvues de données de sous-réseau client EDNS (ECS) et pour configurer les LCA afin d'autoriser des taux de requêtes plus élevés à partir du DNS public de Google.

En plus de cette FAQ, Google publie également la liste sous la forme d'un enregistrement DNS &TXT. Google met à jour les deux sources chaque semaine avec des ajouts, des modifications et des suppressions. Chaque entrée de plage d'adresses IP inclut le code IATA de l'aéroport le plus proche. L'automatisation des données GeoIP ou des LCA doit obtenir ces données via DNS, et non en effaçant cette page Web (voir l'exemple ci-dessous).

Emplacements des plages d'adresses IP utilisées par le DNS public de Google pour envoyer des requêtes

Obtenir des données de localisation à l'aide d'un programme

Les plages d'adresses peuvent être récupérées sous forme de fichier JSON :

curl https://www.gstatic.com/ipranges/publicdns.json

Vous pouvez utiliser le script Python suivant pour créer une liste de plages d'adresses IP qui permettront au DNS public de Google d'interroger les serveurs DNS faisant autorité.

Ces données sont également disponibles à l'adresse locations.publicdns.goog. sous la forme d'un enregistrement TXT. Toutefois, la taille des données signifie que les enregistrements TXT DNS ne sont plus un format approprié. Nous remplaçons l'enregistrement TXT par le fichier au format JSON décrit ci-dessus. Si vous utilisez l'enregistrement TXT, veuillez plutôt utiliser le fichier JSON, car nous prévoyons de le supprimer ultérieurement.

Ligne de commande

Vous pouvez utiliser curl et l'outil jq pour extraire les plages d'adresses IP du DNS public de Google à partir de la ligne de commande.

curl https://www.gstatic.com/ipranges/publicdns.json | jq '.prefixes[]  | .ipv4Prefix // .ipv6Prefix '

Pour ce faire, vous devez :

Installez le client HTTP de ligne de commande curl.
Installez le processeur JSON de ligne de commande jq.

Python

Vous pouvez utiliser le script Python suivant pour créer une liste de plages d'adresses IP utilisées par le DNS public de Google.

#!/usr/bin/env python3
"""An example to fetch and print the Google Public DNS IP ranges."""

import ipaddress
import json
import urllib.request

publicdns_url = 'https://www.gstatic.com/ipranges/publicdns.json'


def read_url(url):
  try:
    s = urllib.request.urlopen(url).read()
    return json.loads(s)
  except urllib.error.HTTPError:
    print('Invalid HTTP response from %s' % url)
    return {}
  except json.decoder.JSONDecodeError:
    print('Could not parse HTTP response from %s' % url)
    return {}


def main():
  publicdns_json = read_url(publicdns_url)
  print('{} published: {}'.format(publicdns_url,
                                  publicdns_json.get('creationTime')))

  locations = dict()
  ipv4, ipv6 = set(), set()
  for e in publicdns_json['prefixes']:
    if e.get('ipv4Prefix'):
      ip = ipaddress.IPv4Network(e.get('ipv4Prefix'), strict=False)
      ipv4.add(ip)
    if e.get('ipv6Prefix'):
      ip = ipaddress.IPv6Network(e.get('ipv6Prefix'), strict=False)
      ipv6.add(ip)
    locations[ip] = e.get('scope')
  print('IP ranges used by Google Public DNS for contacting '
        'authoritative DNS servers:')
  for i in list(ipv4) + list(ipv6):
    print(i, locations[i])


if __name__ == '__main__':
  main()

Pour macOS, ce script requiert un environnement d'exécution Python 3 configuré comme suit :

Installez la version actuelle de l'environnement d'exécution Python 3 pour macOS.
Exécutez la commande Install Certificates.command à partir du dossier Python de votre dossier Applications pour installer une liste de certificats racine approuvés (cert.pem) que l'environnement d'exécution Python doit utiliser. Remplacez VERSION par la version de Python que vous avez installée (par exemple, 3.8) :
```
sudo "/Applications/Python VERSION/Install Certificates.command"
```

Le DNS public de Google est-il basé sur un logiciel Open Source tel que BIND ?

Le DNS public de Google est l'implémentation des normes DNS par Google.

Prévoyez-vous de publier le code DNS public de Google en tant que logiciel Open Source ?

Pour le moment, nous ne prévoyons pas d'utiliser le DNS public de Google en Open Source. Toutefois, nous avons détaillé toutes les mesures que nous avons prises pour accroître la vitesse, la sécurité et la conformité aux normes.

Le DNS public de Google est-il compatible avec IPv6 ?

Le DNS public de Google dispose d'adresses IPv6 pour les requêtes entrantes des clients disposant d'une connectivité IPv6 et répond à toutes les requêtes d'adresses IPv6, en renvoyant les enregistrements AAAA s'ils existent. Nous acceptons entièrement les serveurs de noms faisant autorité uniquement avec IPv6. Les adresses du résolveur IPv6 sont fournies dans les instructions relatives à la mise en route du DNS public de Google.

Notez que vous ne verrez peut-être pas de résultats IPv6 pour les sites Web Google. Pour optimiser l'expérience utilisateur, Google ne diffuse des enregistrements AAAA que pour les clients disposant d'une bonne connectivité IPv6. Cette règle est complètement indépendante du DNS public de Google et est appliquée par les serveurs de noms faisant autorité de Google. Pour en savoir plus, consultez la page Google sur IPv6.

Pour les réseaux et les systèmes utilisant uniquement le protocole IPv6, vous pouvez utiliser Google Public DNS64 pour obtenir des enregistrements AAAA synthétisés pour les noms de domaine contenant des enregistrements A, mais pas d'enregistrements AAAA. Ces enregistrements AAAA synthétisés dirigent les clients utilisant uniquement IPv6 vers une passerelle NAT64 à l'aide d'un préfixe IPv6 bien connu, réservé au service NAT64. Il vous suffit de configurer vos systèmes en suivant les instructions de démarrage, en remplaçant les adresses du résolveur par la configuration IPv6 DNS64.

Le DNS public de Google est-il compatible avec le protocole DNSSEC ?

Le DNS public de Google est un résolveur de validation et de validation. Toutes les réponses des zones signées DNSSEC sont validées, sauf si les clients définissent explicitement l'option CD dans les requêtes DNS pour désactiver la validation.

Comment savoir si j'utilise DNSSEC ?

Vous pouvez effectuer un test simple à l'adresse http://www.dnssec-failed.org/. Ce site a été spécialement configuré pour renvoyer une erreur DNS en raison d'une chaîne d'authentification défaillante. Si aucune erreur ne s'affiche, cela signifie que vous n'utilisez pas DNSSEC.

Comment le DNS public de Google gère-t-il les recherches qui échouent à la validation DNSSEC ?

Si le DNS public de Google ne peut pas valider une réponse (en raison d'une mauvaise configuration, d'enregistrements RRSIG manquants ou incorrects, etc.), il renvoie une réponse d'erreur (SERVFAIL). Cependant, si l'impact est important (par exemple, un domaine très populaire échoue à la validation), nous pouvons désactiver temporairement la validation sur la zone jusqu'à ce que le problème soit résolu.

Comment savoir pourquoi un domaine donné n'est pas validé par DNSSEC ?

Verisign Labs & 3 Analyzer DNS et Sandia National Laboratories DNSViz sont deux outils de visualisation DNSSEC qui montrent la chaîne d'authentification DNSSEC pour n'importe quel domaine. Elles montrent où se produisent les pannes et sont utiles pour rechercher la source des défaillances DNSSEC.

Le DNS public de Google diffuse d'anciennes données. Puis-je forcer l'actualisation de ses données ?

L'outil Flush Cache vous permet d'actualiser le cache DNS public de Google pour les types d'enregistrements courants et la plupart des noms de domaine. Vous n'avez pas besoin de prouver que vous êtes bien le propriétaire du domaine pour le supprimer, mais vous devez résoudre un test reCAPTCHA qui limite les utilisations automatisées du service.

La suppression de tout type d'enregistrement pour un domaine que vous avez enregistré ou sous-délégué avec des enregistrements NS entraîne non seulement le vidage des réponses mises en cache pour ce type, mais également la suppression des informations de délégation sur les serveurs de noms de ce domaine. Lorsque vous avez récemment changé de serveur de noms (en changeant de bureau d'enregistrement ou de fournisseur d'hébergement DNS), il est essentiel d'effectuer cette opération avant de vider les sous-domaines tels que www. Ainsi, ils ne seront pas actualisés à partir des données obsolètes de vos anciens serveurs DNS.

Si le DNS public de Google renvoie des réponses avec des enregistrements CNAME obsolètes, vous devez supprimer le type d'enregistrement CNAME pour chaque domaine CNAME, en commençant par le dernier CNAME de la chaîne, puis en retravaillant le nom de la requête. Après avoir vidé tous les CNAME, videz les noms des requêtes avec tous les types d'enregistrements qui répondent avec l'enregistrement CNAME obsolète.

Les contenus que vous pouvez supprimer sont limités:

Les domaines utilisant le sous-réseau client EDNS (ECS) pour la géolocalisation ne peuvent pas être vidés. Pour les domaines utilisant ECS, définissez des valeurs TTL pour les enregistrements compatibles avec ECS suffisamment courts (15 minutes ou moins) pour que vous n'ayez jamais besoin de les vider.
La seule façon de vider tous les sous-domaines ou tous les types d'enregistrements pour un nom de domaine consiste à vider chaque type d'enregistrement pour chaque nom de domaine. Si ce n'est pas pratique, vous pouvez toujours attendre que la valeur TTL de l'enregistrement expire (cette limite est généralement limitée à six heures, même si la valeur TTL réelle est plus longue).
Pour supprimer les noms de domaine internationalisés tels que пример.example, utilisez le format Punyencoded (xn‑‑e1afmkfd.example pour l'exemple ci-dessus). Les domaines contenant des caractères autres que des lettres ASCII, des chiffres, des traits d'union ou des traits de soulignement ne peuvent pas être vidés.

Le DNS public de Google sécurise-t-il ce que l'on appelle le "dernier saut" en chiffrant la communication avec les clients ?

Le trafic DNS traditionnel est acheminé via UDP ou TCP sans chiffrement. Nous fournissons également le DNS sur TLS et le DNS sur HTTPS, qui chiffre le trafic entre les clients et le DNS public de Google. Vous pouvez l'essayer à l'adresse suivante: https://dns.google.

Pourquoi avons-nous besoin d'un DNS sur HTTPS alors que nous disposons déjà de DNSSEC ?

DNS sur HTTPS et DNSSEC sont complémentaires. Dans la mesure du possible, le DNS public de Google utilise DNSSEC pour authentifier les réponses des serveurs de noms. Toutefois, pour authentifier de manière sécurisée une réponse UDP ou TCP traditionnelle à partir du DNS public de Google, un client doit répéter lui-même la validation DNSSEC, ce que très peu de résolveurs client effectuent actuellement. Le DNS sur HTTPS chiffre le trafic entre les résolveurs de bouchons et le DNS public de Google, et complète DNSSEC pour fournir des résolutions DNS authentifiées de bout en bout.

Existe-t-il des outils que je peux utiliser pour comparer les performances du DNS public de Google à celles d'autres services DNS ?

De nombreux outils disponibles sans frais vous permettent de mesurer le temps de réponse du DNS public de Google. Nous vous recommandons d'utiliser Namebench. Quel que soit l'outil utilisé, nous vous conseillons de l'exécuter sur un grand nombre de domaines (plus de 5 000) afin d'obtenir des résultats statistiquement pertinents. Bien que les tests prennent plus de temps à s'exécuter, l'utilisation d'au moins 5 000 domaines garantit que la variabilité due à la latence du réseau (perte de paquets et retransmissions) est minimisée et que le cache de noms volumineux du système DNS public de Google est pleinement exploité.

Pour définir le nombre de domaines dans Namebench, utilisez l'option IUG Nombre de tests ou l'option de ligne de commande -t. Pour en savoir plus, consultez la documentation de Namebench.

Lorsque j'exécute `ping` ou `traceroute` sur les résolveurs DNS publics de Google, la latence de réponse est plus élevée que celle d'autres services. Cela signifie-t-il que le DNS public de Google est toujours plus lent ?

Outre le temps de ping, vous devez également prendre en compte le temps moyen de résolution d'un nom. Par exemple, si le temps de ping de votre FAI est de 20 ms, mais que le temps de résolution moyen des noms est de 500 ms, le temps de réponse moyen global est de 520 ms. Si le DNS public de Google a un temps de ping de 300 ms, mais qu'il résout de nombreux noms en 1 ms, le temps de réponse moyen global est de 301 ms. Pour obtenir un meilleur test, nous vous recommandons de définir votre domaine de façon à obtenir une comparaison de noms plus complète.

Comment fonctionne le DNS public de Google avec la géolocalisation CDN ?

De nombreux sites qui proposent du contenu multimédia téléchargeable ou en streaming hébergent leur contenu sur des réseaux de diffusion de contenu (CDN) basés sur DNS, tels qu'Akamai. Lorsqu'un résolveur DNS interroge un serveur de noms faisant autorité pour obtenir l'adresse IP d'un CDN, le serveur de noms renvoie l'adresse la plus proche (à la distance du réseau) au résolveur, et non à l'utilisateur. Dans certains cas, il est possible que le résolveur basé sur le FAI et le résolveur public tels que le DNS public de Google ne se trouvent pas à proximité des utilisateurs. Dans ce cas, l'expérience de navigation peut être ralentie. Le DNS public de Google est identique à celui des autres fournisseurs DNS à cet égard.

Pour réduire la distance entre les serveurs DNS et les utilisateurs, le DNS public de Google a déployé ses serveurs dans le monde entier. En particulier, les utilisateurs en Europe doivent être dirigés vers les serveurs de contenu CDN en Europe, les utilisateurs en Asie doivent être dirigés vers les serveurs de CDN en Asie, et les utilisateurs des régions de l'est, du centre et de l'ouest des États-Unis doivent être dirigés vers les serveurs de CDN de ces régions. Nous avons également publié ces informations pour aider les CDN à fournir des résultats DNS de qualité aux utilisateurs multimédias.

De plus, le DNS public de Google utilise une solution technique appelée sous-réseau client EDNS, comme décrit dans le RFC. Cela permet aux résolveurs de transmettre une partie de l'adresse IP du client (les premiers 24/56 bits ou moins pour les adresses IPv4/IPv6, respectivement) en tant qu'adresse IP source dans le message DNS. Les serveurs de noms peuvent ainsi renvoyer des résultats optimisés en fonction de l'emplacement de l'utilisateur plutôt que de celui du résolveur.

Confidentialité

Quelles informations sont consignées par Google lorsque j'utilise le service DNS public de Google ?

La page de confidentialité du DNS public de Google contient la liste complète des informations que nous collectons. Le DNS public de Google est conforme aux principales règles de confidentialité de Google, disponibles dans notre Centre de confidentialité.

L'adresse IP de votre client n'est consignée que temporairement (elle est effacée dans un délai d'un jour ou deux), mais les informations sur les FAI et les agglomérations sont conservées plus longtemps afin de rendre notre service plus rapide, plus efficace et plus sûr.

L'une des informations collectées est-elle stockée avec mon compte Google ?

Aucune donnée stockée n'est associée à un compte Google.

Google partage-t-il les informations collectées à partir du service DNS public de Google avec des personnes extérieures à Google ?

Non, sauf dans les cas limités décrits dans les règles de confidentialité de Google, comme les réquisitions judiciaires et les demandes gouvernementales exécutoires. (Consultez également l'article Transparence des informations concernant les demandes de renseignements sur les utilisateurs de Google.

Google associe-t-il les informations des journaux temporaires ou permanents avec les informations personnelles que j'ai fournies à Google pour d'autres services ?

Comme l'indique la page Confidentialité, nous ne combinons pas les données des journaux de cette manière et nous ne les associons pas non plus.