

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Protection contre les registres de délégation suspendu dans Route 53
<a name="protection-from-dangling-dns"></a>

Avec Route 53, un client peut créer une zone hébergée, par exemple `example.com` pour héberger ses enregistrements DNS. Chaque zone hébergée est fournie avec un « ensemble de délégations », qui est un ensemble de quatre serveurs de noms qu'un client peut utiliser pour configurer les enregistrements NS dans le domaine parent. Ces enregistrements NS peuvent être appelés « enregistrements NS de délégation » ou « enregistrements de délégation ».

Pour que la zone hébergée `example.com` Route 53 fasse autorité, le propriétaire légitime du `example.com` domaine doit configurer les enregistrements de délégation dans son domaine parent « .com » via le bureau d'enregistrement de domaines. Si un client perd l'accès aux quatre serveurs de noms configurés dans le domaine parent, par exemple parce que la zone hébergée associée est supprimée, cela peut créer un risque qu'un attaquant peut exploiter. C'est ce que l'on appelle le risque de « pendaison des dossiers de délégation ».

Route 53 protège contre le risque lié aux records de délégation en cas de suppression d'une zone hébergée. Après la suppression, si une nouvelle zone hébergée est créée avec le même nom de domaine, Route 53 vérifiera si les enregistrements de délégation pointant vers la zone hébergée supprimée sont toujours présents dans le domaine parent. Si tel est le cas, Route 53 empêchera l'attribution de serveurs de noms qui se chevauchent. Il s'agit du scénario 1 dans les exemples suivants.

Cependant, il existe d'autres risques liés aux records de délégation, contre lesquels Route 53 ne peut pas se protéger, comme le décrivent les scénarios 2 à 5 dans les exemples suivants. Pour vous protéger contre cet ensemble plus large de risques, assurez-vous que les enregistrements NS du parent correspondent à la délégation définie pour la zone hébergée Route 53. Vous pouvez trouver l'ensemble de délégations d'une zone hébergée via la console Route 53 ou AWS CLI. Pour plus d’informations, consultez [Liste des enregistrements](resource-record-sets-listing.md) ou [get-hosted-zone](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/route53/get-hosted-zone.html).

En outre, l'activation de la signature DNSSEC pour une zone hébergée Route 53 peut constituer une couche de protection supplémentaire au-delà des meilleures pratiques mentionnées ci-dessus. Le protocole DNSSEC certifie que les réponses DNS proviennent d'une source faisant autorité, ce qui permet de se protéger efficacement contre ce risque. Pour de plus amples informations, veuillez consulter [Configuration de la signature DNSSEC dans Amazon Route 53](dns-configuring-dnssec.md).

## Exemples
<a name="protection-from-dangling-dns-examples"></a>

Dans les exemples suivants, nous supposons que vous avez un domaine `example.com` et son domaine enfant`child.example.com`. Nous expliquerons comment, dans différents scénarios, des enregistrements de délégation suspendus peuvent être créés, comment Route 53 protège votre domaine contre les abus et comment atténuer efficacement les risques associés aux enregistrements de délégation suspendus.

**Scénario 1:**  
Vous créez une zone hébergée `child.example.com` avec quatre serveurs de noms : <ns1><ns2>,<ns3>, et<ns4>. Vous configurez correctement la délégation dans la zone hébergée`example.com`, en créant des enregistrements NS `child.example.com` de délégation pour quatre serveurs de noms <ns1><ns2>,<ns3>, et<ns4>. Lorsque la zone `child.example.com` hébergée est supprimée sans supprimer les enregistrements NS de la délégation dans laquelle se trouvent les enregistrements`example.com`, Route 53 `child.example.com` protège contre le risque lié aux enregistrements de délégation en empêchant <ns1><ns2><ns3>, et <ns4>en empêchant leur attribution à des zones hébergées nouvellement créées avec le même nom de domaine.

**Scénario 2:**  
Similaire au scénario 1, mais cette fois, vous supprimez la zone hébergée pour enfants ET les enregistrements NS de la délégation dans la zone hébergée`example.com`. Toutefois, vous pouvez réajouter des enregistrements NS de délégation <ns1><ns2>,<ns3>, <ns4>sans créer de zone hébergée pour enfants. Ici,<ns1>, <ns2><ns3>, et <ns4>sont en suspens les dossiers de délégation, car Route 53 supprime le blocage, qui empêchait<ns1>, <ns2><ns3>, et d'<ns4>être attribué et autorisera désormais les zones hébergées nouvellement créées à utiliser au-dessus des serveurs de noms. Pour atténuer les risques, supprimez, <ns1><ns2><ns3>, et des <ns4>enregistrements de délégation et ajoutez-les à nouveau uniquement une fois que la zone hébergée par l'enfant a été créée.

**Scénario 3  :**  
Dans ce scénario, vous créez un ensemble de délégations réutilisables Route 53 avec des serveurs de noms <ns1><ns2>,<ns3>, et<ns4>. Vous déléguez ensuite le domaine `example.com` à ces serveurs de noms dans le domaine parent`.com`. Cependant, vous n'avez pas encore créé la zone `example.com` hébergée pour l'ensemble de délégations réutilisable. Voici,<ns1>, <ns2><ns3>, et <ns4>pendent des dossiers de délégation. Pour atténuer le risque, créez la zone hébergée à l'aide du jeu de délégation réutilisable avec les serveurs de noms <ns1><ns2><ns3>,, et<ns4>. 

**Scénario 4 :**  
Vous créez des zones hébergées à la fois `child.example.com` avec des serveurs de noms <ns1><ns2><ns3>,<ns4>, et, et `grandchild.child.example.com` avec des serveurs de noms <ns5><ns6>,<ns7>, et<ns8>. Cependant, vous déléguez les deux directement dans la `example.com` zone, ce qui crée un risque de délégation important. Pour garantir que les délégations suivent une hiérarchie DNS appropriée, déléguez uniquement les sous-domaines par le biais de leurs zones parentes immédiates. Par exemple, si vous souhaitez déléguer `grandchild.child.example.com` : déléguez d'abord `child.example.com` avec les serveurs de noms <ns1><ns2><ns3>,, et <ns4>dans la `example.com` zone, puis déléguez `grandchild.child.example.com` avec les serveurs de noms <ns5><ns6><ns7>,, et <ns8>dans la `child.example.com` zone, et supprimez toute délégation directe pour `grandchild.child.example.com` depuis la `example.com` zone.

**Scénario 5 :**  
Vous déléguez un domaine ou un sous-domaine aux serveurs de noms Route 53 avant de créer une zone hébergée correspondante, ce qui crée des enregistrements de délégation suspendus. Cela est similaire au cas dans le scénario 3, mais le risque s'applique également lorsqu'aucun ensemble de délégation réutilisable n'est créé. Par exemple, vous déléguez le domaine `example.com` à des serveurs de noms <ns1><ns2>,<ns3>, et <ns4>dans le domaine parent`.com`, mais aucun de ces serveurs de noms n'a jamais hébergé`example.com`. Route 53 ne peut pas se protéger contre cela, car aucune zone hébergée n'a jamais existé pour bloquer ces serveurs de noms pour ce nom de domaine. Pour atténuer le risque, déléguez uniquement aux serveurs de noms Route 53 appartenant à une zone hébergée publique que vous contrôlez.