Outils pour utilisateurs

Outils du site


configurer_dnssec

Configurer DNSSEC

Utilité

DNSSEC (Domain Name System Security Extensions) apporte la sécurité du chiffrement aux enregistrements DNS. Typiquement, votre ordi fait appel à des serveurs DNS externes1) pour résoudre les noms de domaines. Qu'est-ce qui vous garantit que ces serveurs n'ont pas été hackés ? Même si vous utilisez votre propre serveur DNS, comment savoir que les serveurs faisant autorité sur un nom de domaine n'ont pas eux-mêmes été hackés ? Or un DNS hacké peut vous envoyer sur n'importe quelle serveur et vous faire croire que ce dernier est bien celui qui héberge le site de votre banque… Voilà donc deux situations courantes où l'on aimerait que le DNS soit sécurisé.

DNSSEC apporte une sécurité nouvelle au DNS grâce au chiffrement et à la signature des information contenues dans le DNS. La clé de voûte du système est le chiffrement des données des registres eux-mêmes, sécurisant la chaîne de dérivation des noms de domaines. Ainsi, .net va garantir que ses données sont sécurisées permettant au serveur DNS gérant mondomain.net de sécuriser les données de sa zone.

En savoir plus : DNSSEC les extensions de sécuritédu DNS (fr) (afnic)

Principe

Le principe simplifié est le suivant :

  • on crée une paire de clés publique/privée
  • on transmet la clé au gestionnaire de la zone de niveau supérieur (le registre dans le cas d'un tld)
  • sur le serveur DNS gérant la zone concernée, on génère des enregistrements signés qui viennent surcharger les enregistrements classiques.

En savoir plus ; How DNSSEC Works

Mise en œuvre

Avant toute mise en place de DNSSEC, s'assurer que le domaine est parfaitement configuré : 0 erreur, 0 avertissement. Seules les notifications (notamment l'absence de DNSSEC) sont acceptables.

Je décris ici une mise en œuvre simplifiée sur un serveur DNS Debian-Bind muni de l'outil d'administration Webmin-Virtualmin.

  • Pointer le navigateur sur : Webmin > Servers > BIND DNS server > Setup DNSSECKEY
    • Key alogorithm : RSASHA256
    • Create
    • vérifier le fichier de zone
    • appliquer la zone
  • Pour la suite, on revient sur Virtualmin
  • <domain> > Server Configuration > DNS Options > DNSSEC zone keys
    • copier la DNSSEC public key
  • ouvrir une fenêtre de navigateur sur votre registrar
    • choisir le nom de domaine
    • aller à la gestion du DNNSEC (dans la section concernant le serveurs de noms)
    • coller et ajouter la clé publique copiée précédemment copiée
    • votre registrar transmet votre clé au registre
  • laisser le temps à l'information de se propager
  • vérifier l'état de la zone (typiquement à l'aide de zonemaster.fr)

C'est tout !

N'oubliez pas que votre DNS est sécurisé mais beaucoup moins tolérant aux imperfections : les horloges des serveurs DNS doivent être parfaitement réglées, les rafraîchissements doivent être impeccables, etc.
Il est vivement recommandé de commencer sur un domaine de test et de voir comment votre système DNS se comporte dans le temps avant de basculer sur des domaines utilisés en production.
1)
Celui de votre FAI, de votre organisation…
configurer_dnssec.txt · Dernière modification: 2018/11/06 22:07 par flaz