Général
Qu'est-ce que le DNS public de Google ?
Google Public DNS est un service de résolution DNS (Domain Name System) mondial et sans frais que vous pouvez utiliser à la place de votre fournisseur DNS actuel.
Pourquoi Google travaille-t-il sur un service DNS ?
Nous pensons qu'une infrastructure DNS plus rapide et plus sûre pourrait considérablement améliorer l'expérience de navigation sur le Web. Le DNS public de Google a apporté de nombreuses améliorations en termes de rapidité, de sécurité et de validité des résultats. Nous avons partagé ces améliorations dans notre documentation afin de contribuer à une conversation en cours au sein de la communauté Web.
Puis-je utiliser le DNS public de Google pour héberger mon nom de domaine ?
Google Public DNS n'est pas un service d'hébergement DNS faisant autorité et ne peut pas être utilisé comme tel. Si vous recherchez un serveur de noms autoritaire, programmable et à fort volume utilisant l'infrastructure de Google, essayez Cloud DNS de Google.
Le DNS public Google permet-il de bloquer ou de filtrer les sites indésirables ?
Le DNS public de Google est un serveur de résolution et de mise en cache DNS. Il n'effectue aucun blocage ni filtrage d'aucune sorte, à l'exception de certains domaines dans de rares cas où:
- Nous pensons que cette mesure est nécessaire pour protéger les utilisateurs de Google contre les menaces de sécurité.
- nous sommes tenus par la loi de bloquer un ou plusieurs domaines spécifiques. (Pour en savoir plus, consultez la page Blocage.)
Toutefois, nous pensons que la fonctionnalité de blocage est généralement la mieux adaptée au client. Si vous souhaitez activer cette fonctionnalité, nous vous recommandons d'installer une application côté client ou un module complémentaire de navigateur à cette fin.
Le DNS public de Google présente-t-il des dépendances entre les produits ?
Google Public DNS est un service indépendant.
Ai-je besoin d'un compte Google pour utiliser le DNS public de Google ?
Aucun compte n'est requis pour utiliser le DNS public de Google.
En quoi le DNS public de Google est-il différent du service DNS de mon FAI ou d'autres résolveurs DNS ouverts ? Comment savoir si c'est mieux ?
Les résolveurs ouverts et votre FAI proposent tous des services de résolution DNS. Nous vous invitons à essayer le DNS public de Google en tant que résolveur DNS principal ou secondaire, ainsi que tout autre service DNS alternatif. De nombreux facteurs doivent être pris en compte pour identifier un résolveur DNS qui vous convient, comme la vitesse, la fiabilité, la sécurité et la validité des réponses. Contrairement au DNS public de Google, certains FAI et résolveurs ouverts bloquent, filtrent ou redirigeront les réponses DNS à des fins commerciales. Consultez également la réponse à la question Le DNS public de Google permet-il de bloquer ou de filtrer les sites indésirables ?.
Comment Google Public DNS gère-t-il les domaines inexistants ?
Si vous émettez une requête pour un nom de domaine qui n'existe pas, le DNS public de Google renvoie toujours un enregistrement NXDOMAIN, conformément aux normes du protocole DNS. Le navigateur devrait afficher cette réponse en tant qu'erreur DNS. Si vous recevez une réponse autre qu'un message d'erreur (par exemple, vous êtes redirigé vers une autre page), cela peut être dû aux éléments suivants:
- Une application côté client, telle qu'un plug-in de navigateur, affiche une page de remplacement pour un domaine inexistant.
- Certains FAI peuvent intercepter et remplacer toutes les réponses NXDOMAIN par des réponses qui mènent à leurs propres serveurs. Si vous pensez que votre FAI intercepte les requêtes ou les réponses du DNS public de Google, contactez-le.
Le DNS public de Google sera-t-il utilisé pour diffuser des annonces à l'avenir ?
Nous nous engageons à préserver l'intégrité du protocole DNS. Le DNS public de Google ne renverra jamais l'adresse d'un ad server pour un domaine inexistant.
Qu'est-ce que DNS-over-HTTPS (DoH) ?
Résolution DNS via une connexion HTTPS chiffrée. DNS over HTTPS améliore considérablement la confidentialité et la sécurité entre un résolveur stub et un résolveur récursif, et complète DNSSEC pour fournir des recherches DNS authentifiées de bout en bout.
Utilisation et assistance
J'utilise actuellement un autre service DNS. Puis-je également utiliser le DNS public de Google ?
Vous pouvez définir le DNS public de Google comme résolveur DNS principal ou secondaire, en plus de votre résolveur DNS actuel. N'oubliez pas que les systèmes d'exploitation traitent les résolveurs DNS différemment : certains préfèrent votre résolveur DNS principal et n'utilisent le secondaire que si le principal ne répond pas, tandis que d'autres effectuent un tour par tour entre chacun des résolveurs.
S'il existe des différences de sécurité ou de filtrage entre les résolveurs configurés, vous obtenez le niveau de sécurité ou de filtrage le plus faible de tous les résolveurs. Le filtrage NXDOMAIN ou la redirection vers des pages de blocage peuvent parfois fonctionner, mais SERVFAIL ne bloque pas les domaines, sauf si tous les résolveurs renvoient SERVFAIL.
Le DNS public de Google est-il adapté à tous les types d'appareils connectés à Internet ?
Le DNS public de Google peut être utilisé sur n'importe quel appareil réseau conforme aux normes. Si vous constatez que le DNS public de Google ne fonctionne pas correctement, n'hésitez pas à nous en informer.
Puis-je exécuter le DNS public de Google sur mon ordinateur de bureau ?
Certains bureaux disposent de réseaux privés qui vous permettent d'accéder à des domaines auxquels vous ne pouvez pas accéder en dehors du travail. L'utilisation du DNS public de Google peut limiter votre accès à ces domaines privés. Veuillez consulter les règles de votre service IT avant d'utiliser le DNS public de Google sur votre ordinateur de bureau.
Dans quels pays le DNS public Google est-il disponible ?
Il est disponible pour les internautes du monde entier, mais votre expérience peut varier considérablement en fonction de votre emplacement spécifique.
Le DNS public de Google fonctionne-t-il avec tous les FAI ?
Le DNS public de Google devrait fonctionner avec la plupart des FAI, à condition que vous ayez accès aux paramètres DNS de votre réseau.
Dois-je utiliser les deux adresses IP DNS publiques Google ?
Vous pouvez utiliser Google comme service principal en utilisant simplement l'une des adresses IP. Toutefois, veillez à ne pas spécifier la même adresse pour les serveurs principal et secondaire.
L'ordre dans lequel j'indique les adresses IP est-il important ?
L'ordre n'a pas d'importance. L'une de ces adresses peut être votre serveur de noms principal ou secondaire.
Quel est le contrat de niveau de service du service ?
Aucun contrat de niveau de service (SLA) n'est appliqué au service DNS public Google sans frais.
Je gère un FAI. Puis-je rediriger mes utilisateurs vers le DNS public de Google ?
Les FAI qui souhaitent utiliser Google Public DNS doivent suivre les instructions de leur FAI pour savoir s'ils doivent effectuer des opérations avant d'envoyer des requêtes à Google Public DNS.
Comment obtenir l'aide de l'équipe Google Public DNS ?
Nous vous recommandons de rejoindre nos groupes Google pour obtenir des informations utiles de la part de l'équipe et poser vos questions. Si vous rencontrez un problème et souhaitez le signaler, consultez Signaler un problème pour connaître la procédure à suivre.
Technique
Comment le DNS public de Google sait-il où envoyer mes requêtes ?
Le routage anycast dirige vos requêtes vers le serveur DNS public Google le plus proche. Pour en savoir plus sur le routage anycast, consultez la page Wikipédia.
Le DNS public de Google utilise les enregistrements de serveur de noms (NS) publiés dans la zone racine DNS et les zones de domaines de premier niveau pour trouver les noms et les adresses des serveurs DNS faisant autorité pour un domaine donné. Certains de ces serveurs de noms utilisent également le routage anycast.
Où se trouvent vos serveurs actuellement ?
Les serveurs DNS publics de Google sont disponibles dans le monde entier. Il existe deux réponses à cette question, l'une pour les clients et l'autre pour les serveurs DNS auprès desquels Google Public DNS obtient les réponses qu'il renvoie aux clients.
Lorsque les clients envoient des requêtes au DNS public de Google, elles sont acheminées vers l'emplacement le plus proche qui annonce l'adresse anycast utilisée (8.8.8.8, 8.8.4.4 ou l'une des adresses IPv6 dans 2001:4860:4860::). Les emplacements spécifiques qui annoncent ces adresses anycast changent en fonction des conditions du réseau et de la charge de trafic, et incluent presque tous les centres de données principaux et les points de présence (PoP) Edge du réseau Edge de Google.
Le DNS public de Google envoie des requêtes aux serveurs faisant autorité à partir des centres de données principaux et des emplacements de région Google Cloud. Google publie une liste des plages d'adresses IP que le DNS public peut utiliser pour interroger les serveurs DNS primaires (les plages de la liste ne sont pas toutes utilisées). Vous pouvez l'utiliser pour la géolocalisation des requêtes DNS dépourvues de données de sous-réseau client EDNS (ECS) et pour configurer des LCA afin d'autoriser des taux de requête plus élevés du DNS public de Google.
En plus de ces questions fréquentes, Google publie également la liste sous la forme d'un enregistrement DNS "TXT". Google met à jour les deux sources chaque semaine avec des ajouts, des modifications et des suppressions. Chaque entrée de plage d'adresses IP inclut le code IATA de l'aéroport le plus proche. L'automatisation des données GeoIP ou des LCA doit obtenir ces données via DNS, et non en détournant cette page Web (voir l'exemple ci-dessous).
Emplacements des plages d'adresses IP utilisées par le DNS public de Google pour envoyer des requêtes
Obtenir des données de localisation de manière programmatique
Les plages d'adresses peuvent être récupérées comme suit:
Un fichier JSON:
curl https://www.gstatic.com/ipranges/publicdns.jsonUn flux de géolocalisation RFC 8805
curl https://www.gstatic.com/ipranges/publicdns_geofeed.txt
Vous pouvez utiliser le script Python suivant pour créer une liste de plages d'adresses IP que Google DNS public utilisera pour effectuer des requêtes auprès de serveurs DNS faisant autorité.
Ces données sont également disponibles sur la page locations.publicdns.goog. sous forme d'enregistrement TXT.
Cependant, la taille des données signifie que les enregistrements TXT DNS ne sont plus un format approprié. Nous remplaçons l'enregistrement TXT par le fichier au format JSON décrit ci-dessus. Si vous utilisez l'enregistrement TXT, veuillez passer au fichier JSON, car nous prévoyons de supprimer l'enregistrement TXT à l'avenir.
Ligne de commande
Vous pouvez utiliser curl et l'outil jq pour extraire les plages d'adresses IP du DNS public de Google à partir de la ligne de commande.
curl https://www.gstatic.com/ipranges/publicdns.json | jq '.prefixes[] | .ipv4Prefix // .ipv6Prefix '
Pour ce faire, vous devez disposer des éléments suivants :
- Installer le client HTTP de ligne de commande curl
- Installez le processeur JSON de ligne de commande jq.
Python
Vous pouvez utiliser le script Python suivant pour créer une liste de plages d'adresses IP utilisées par le DNS public de Google.
#!/usr/bin/env python3 """An example to fetch and print the Google Public DNS IP ranges.""" import ipaddress import json import urllib.request publicdns_url = 'https://www.gstatic.com/ipranges/publicdns.json' def read_url(url): try: s = urllib.request.urlopen(url).read() return json.loads(s) except urllib.error.HTTPError: print('Invalid HTTP response from %s' % url) return {} except json.decoder.JSONDecodeError: print('Could not parse HTTP response from %s' % url) return {} def main(): publicdns_json = read_url(publicdns_url) print('{} published: {}'.format(publicdns_url, publicdns_json.get('creationTime'))) locations = dict() ipv4, ipv6 = set(), set() for e in publicdns_json['prefixes']: if e.get('ipv4Prefix'): ip = ipaddress.IPv4Network(e.get('ipv4Prefix'), strict=False) ipv4.add(ip) if e.get('ipv6Prefix'): ip = ipaddress.IPv6Network(e.get('ipv6Prefix'), strict=False) ipv6.add(ip) locations[ip] = e.get('scope') print('IP ranges used by Google Public DNS for contacting ' 'authoritative DNS servers:') for i in list(ipv4) + list(ipv6): print(i, locations[i]) if __name__ == '__main__': main()
Pour macOS, ce script requiert un environnement d'exécution Python 3 configuré comme suit :
- Installez la version actuelle de l'environnement d'exécution Python 3 pour macOS.
- Exécutez la commande
Install Certificates.commandà partir du dossier Python de votre dossier Applications pour installer une liste de certificats racine approuvés (cert.pem) que l'environnement d'exécution Python doit utiliser. RemplacezVERSIONpar la version de Python que vous avez installée (par exemple3.8) :sudo "/Applications/Python
VERSION/Install Certificates.command"
Google Public DNS est-il basé sur des logiciels Open Source, comme BIND ?
Le DNS public de Google est l'implémentation des normes DNS par Google.
Le code du DNS public de Google est-il prévu pour être publié en tant que logiciel Open Source ?
Pour le moment, nous ne prévoyons pas de déployer le DNS public de Google en Open Source. Toutefois, nous avons détaillé toutes les mesures que nous avons prises pour améliorer la vitesse, la sécurité et la conformité aux normes.
Le DNS public de Google est-il compatible avec IPv6 ?
Le DNS public de Google dispose d'adresses IPv6 pour les requêtes entrantes des clients disposant d'une connectivité IPv6 et répond à toutes les requêtes adressées à IPv6, en renvoyant des enregistrements AAAA s'ils existent. Nous acceptons pleinement les serveurs de noms faisant autorité uniquement sur IPv6. Les adresses de résolveur IPv6 sont fournies dans les instructions de démarrage avec le DNS public de Google.
Notez que vous ne verrez peut-être pas de résultats IPv6 pour les sites Web Google. Pour optimiser l'expérience utilisateur, Google ne diffuse des enregistrements AAAA qu'aux clients disposant d'une bonne connectivité IPv6. Cette règle est complètement indépendante du DNS public de Google. Elle est appliquée par les serveurs de noms faisant autorité de Google. Pour en savoir plus, consultez la page Google sur IPv6.
Pour les réseaux et systèmes IPv6 uniquement, vous pouvez utiliser le DNS64 public de Google pour obtenir des enregistrements AAAA synthétiques pour les noms de domaine avec des enregistrements A, mais pas d'enregistrements AAAA. Ces enregistrements AAAA synthétiques redirigent les clients IPv6 uniquement vers une passerelle NAT64 à l'aide d'un préfixe IPv6 bien connu réservé au service NAT64. Il vous suffit de configurer vos systèmes en suivant les instructions de démarrage, en remplaçant les adresses du résolveur par la configuration IPv6 DNS64.
Le DNS public de Google est-il compatible avec le protocole DNSSEC ?
Google Public DNS est un résolveur de validation respectueux de la sécurité. Toutes les réponses des zones signées DNSSEC sont validées, sauf si les clients définissent explicitement l'option CD dans les requêtes DNS pour désactiver la validation.
Comment savoir si j'utilise DNSSEC ?
Vous pouvez effectuer un test simple sur le site http://www.dnssec-failed.org/. Ce site a été spécifiquement configuré pour renvoyer une erreur DNS en raison d'une chaîne d'authentification endommagée. Si aucune erreur ne s'affiche, vous n'utilisez pas DNSSEC.
Comment le DNS public de Google gère-t-il les recherches pour lesquelles la validation DNSSEC échoue ?
Si le DNS public de Google ne peut pas valider une réponse (en raison d'une mauvaise configuration, d'enregistrements RRSIG manquants ou incorrects, etc.), il renvoie une réponse d'erreur (SERVFAIL). Toutefois, si l'impact est important (par exemple, si la validation d'un domaine très populaire échoue), nous pouvons désactiver temporairement la validation de la zone jusqu'à ce que le problème soit résolu.
Comment savoir pourquoi la validation DNSSEC d'un domaine donné échoue-t-elle ?
DNS Analyzer de Verisign Labs et DNSViz de Sandia National Laboratories sont deux outils de visualisation DNSSEC qui affichent la chaîne d'authentification DNSSEC pour n'importe quel domaine. Ils indiquent où se produisent les défaillances et sont utiles pour rechercher la source des échecs DNSSEC.
Le DNS public de Google affiche d'anciennes données. Puis-je le forcer à actualiser ses données ?
Vous pouvez utiliser l'outil Vider le cache pour actualiser le cache du DNS public Google pour les types d'enregistrement courants et la plupart des noms de domaine. Vous n'avez pas besoin de prouver que vous êtes le propriétaire du domaine pour le vider, mais vous devez résoudre un reCAPTCHA qui limite l'utilisation abusive automatisée du service.
Si vous videz le cache d'un type d'enregistrement pour un domaine que vous avez enregistré ou sous-déléglé à l'aide d'enregistrements NS, vous videz non seulement les réponses mises en cache pour ce type, mais aussi les informations de délégation sur les serveurs de noms de ce domaine.
Lorsque vous avez récemment modifié vos serveurs de noms (en changeant de bureau d'enregistrement ou de fournisseur d'hébergement DNS), il est essentiel de le faire avant d'effacer les sous-domaines tels que www, afin qu'ils ne soient pas mis à jour à partir de données obsolètes sur vos anciens serveurs DNS.
Si le DNS public de Google renvoie des réponses avec des enregistrements CNAME obsolètes, vous devez vider le type d'enregistrement CNAME pour chaque domaine CNAME, en commençant par le dernier CNAME de la chaîne et en remontant jusqu'au nom interrogé. Après avoir effacé tous les CNAME, effacez les noms interrogés avec tous les types d'enregistrements qui répondent avec le CNAME obsolète.
Les éléments suivants ne peuvent pas être effacés:
Les domaines qui utilisent le sous-réseau client EDNS (ECS) pour la géolocalisation ne peuvent pas être effacés. Pour tous les domaines qui utilisent ECS, définissez des TTL suffisamment courts (15 minutes ou moins) pour que vous n'ayez jamais besoin de les effacer.
Le seul moyen de vider tous les sous-domaines ou tous les types d'enregistrements d'un nom de domaine consiste à vider chaque type d'enregistrement pour chaque nom de domaine que vous souhaitez vider. Si ce n'est pas pratique, vous pouvez toujours attendre que les TTL des enregistrements expirent (elles sont généralement limitées à six heures, même si la TTL réelle est plus longue).
Pour vider des noms de domaine internationalisés tels que
пример.example, utilisez le format Punycode (xn‑‑e1afmkfd.examplepour l'exemple ci-dessus). Les domaines comportant des caractères autres que des lettres ASCII, des chiffres, des traits d'union ou des traits de soulignement ne peuvent pas être vidés.
Le DNS public de Google sécurise-t-il le "dernier saut" en chiffrant la communication avec les clients ?
Le trafic DNS traditionnel est transporté via UDP ou TCP sans chiffrement. Nous proposons également DNS sur TLS et DNS sur HTTPS, qui chiffrent le trafic entre les clients et le DNS public de Google. Vous pouvez essayer de l'utiliser à l'adresse https://dns.google.
Pourquoi avons-nous besoin de DNS-over-HTTPS alors que DNSSEC existe déjà ?
DNS-over-HTTPS et DNSSEC sont complémentaires. Le DNS public de Google utilise DNSSEC pour authentifier les réponses des serveurs de noms dans la mesure du possible. Toutefois, pour authentifier de manière sécurisée une réponse UDP ou TCP traditionnelle du DNS public de Google, un client doit répéter la validation DNSSEC lui-même, ce que très peu de résolveurs clients font actuellement. DNS over HTTPS chiffre le trafic entre les résolveurs stub et le DNS public de Google, et complète DNSSEC pour fournir des recherches DNS authentifiées de bout en bout.
Existe-t-il des outils que je peux utiliser pour comparer les performances du DNS public de Google à celles d'autres services DNS ?
De nombreux outils disponibles sans frais vous permettent de mesurer le temps de réponse du DNS public Google. Nous vous recommandons Namebench. Quel que soit l'outil que vous utilisez, vous devez l'exécuter sur un grand nombre de domaines (plus de 5 000) pour obtenir des résultats statistiquement pertinents. Bien que les tests prennent plus de temps à s'exécuter, l'utilisation d'un minimum de 5 000 domaines garantit que la variabilité due à la latence réseau (perte de paquets et retransmissions) est minimisée et que le grand cache de noms du DNS public de Google est bien utilisé.
Pour définir le nombre de domaines dans Namebench, utilisez l'option Nombre de tests de l'IUG ou l'indicateur de ligne de commande -t. Pour en savoir plus, consultez la documentation Namebench.
Lorsque j'exécute ping ou traceroute avec les résolveurs DNS publics Google, la latence de réponse est plus élevée que celle des autres services. Cela signifie-t-il que le DNS public de Google est toujours plus lent ?
En plus du temps de ping, vous devez également tenir compte du temps moyen de résolution d'un nom. Par exemple, si votre FAI a un temps de ping de 20 ms, mais un temps moyen de résolution de nom de 500 ms, le temps de réponse moyen global est de 520 ms. Si le DNS public de Google a un temps de ping de 300 ms, mais résout de nombreux noms en 1 ms, le temps de réponse moyen global est de 301 ms. Pour obtenir une meilleure comparaison, nous vous recommandons de tester les résolutions de nom d'un grand nombre de domaines.
Comment fonctionne le DNS public de Google avec la géolocalisation du CDN ?
De nombreux sites qui proposent des contenus multimédias téléchargeables ou en streaming hébergent leur contenu avec des réseaux de distribution de contenu tiers (CDN), tels qu'Akamai. Lorsqu'un résolveur DNS interroge un serveur de noms faisant autorité pour obtenir l'adresse IP d'un CDN, le serveur de noms renvoie l'adresse la plus proche (en distance réseau) du résolveur, et non de l'utilisateur. Dans certains cas, pour les résolveurs basés sur un FAI et les résolveurs publics tels que le DNS public de Google, le résolveur peut ne pas être situé à proximité des utilisateurs. Dans ce cas, l'expérience de navigation peut être quelque peu ralentie. À cet égard, le DNS public de Google ne diffère pas des autres fournisseurs de DNS.
Pour réduire la distance entre les serveurs DNS et les utilisateurs, le DNS public de Google a déployé ses serveurs dans le monde entier. En particulier, les utilisateurs situés en Europe doivent être redirigés vers les serveurs de contenu CDN en Europe, les utilisateurs situés en Asie doivent être redirigés vers les serveurs CDN en Asie, et les utilisateurs situés dans l'est, le centre et l'ouest des États-Unis doivent être redirigés vers les serveurs CDN de ces régions respectives. Nous avons également publié ces informations pour aider les CDN à fournir de bons résultats DNS aux utilisateurs multimédias.
En outre, le DNS public de Google utilise une solution technique appelée sous-réseau client EDNS, comme décrit dans le RFC. Cela permet aux résolveurs de transmettre une partie de l'adresse IP du client (les 24 ou 56 premiers bits, respectivement pour IPv4/IPv6) en tant qu'adresse IP source dans le message DNS, afin que les serveurs de noms puissent renvoyer des résultats optimisés en fonction de l'emplacement de l'utilisateur plutôt que de celui du résolveur.
Confidentialité
Quelles informations Google consigne-t-il lorsque j'utilise le service DNS public de Google ?
La page de confidentialité du DNS public de Google contient la liste complète des informations que nous collectons. Le DNS public de Google est conforme aux règles de confidentialité principales de Google, disponibles sur notre Centre de confidentialité.
L'adresse IP de votre client n'est enregistrée que temporairement (elle est effacée sous un à deux jours), mais les informations sur les FAI et les villes/agglomérations sont conservées plus longtemps afin d'améliorer, de sécuriser et d'accélérer le service.
Les informations collectées sont-elles stockées dans mon compte Google ?
Aucune donnée stockée n'est associée à un compte Google.
Les informations collectées à partir du service DNS public de Google sont-elles partagées par Google avec des personnes extérieures à Google ?
Non, sauf dans les circonstances limitées décrites dans les règles de confidentialité de Google, telles que les réquisitions judiciaires et les demandes gouvernementales ayant force exécutoire. (Voir également le rapport Transparence des informations de Google concernant les demandes de données utilisateur.)
Google met-il en corrélation ou combine-t-il les informations des journaux temporaires ou permanents avec les informations personnelles que j'ai fournies à Google pour d'autres services ?
Comme indiqué sur la page sur la confidentialité, nous ne combinons ni ne corrélations les données de journal de cette manière.