DNSSEC



Qu'est ce que c'est

Le DNSSEC est un protocole de sécurisation du protocole DNS. Celui-ci a pour but de signer les informations publiées grâce à un jeu de clés chiffrées.

Il est fortement déconseillé d'activer cette option si vous n'avez aucune idée de ce que cela représente : vous pourriez rendre votre nom de domaine inopérant.

Qui peut utiliser DNSSEC ?

N'importe qui d'assez technique pour générer ses clefs et sachant paramétrer celles-ci et administrant lui-même ses DNS, car les DNS hébergés ne permettent pas de gérer DNSSEC (ns6.gandi.net en secondaire ne pose pas de problème, toutefois). Enfin, certaines extensions ne supportent pas encore le DNSSEC ou n'ont pas encore eu la méthode implémentée chez Gandi. Votre nom de domaine doit donc être dans l'une de ces extensions :

  • ac
  • be
  • biz
  • cc
  • com
  • co.uk
  • de
  • eu
  • fr
  • gd
  • gr
  • info
  • io
  • me
  • me.uk
  • net
  • nz
  • org
  • org.uk
  • pm
  • re
  • se
  • sh
  • tc
  • tf
  • tv
  • us
  • wf
  • yt
  • za

Certaines extensions présentes chez Gandi savent gérer DNSSEC. Celles-ci seront implémentées dans notre interface prochainement. Les voici :

.AM .AT .BR .CAT .CL .CO .DK .FI .JP
.LA .MN .PR .PT .SC .TW

Comment installer DNSSEC sur son nom de domaine

L'interface de gestion de DNSSEC se trouve sur la fiche de votre nom de domaine. Si celui-ci est éligible, vous trouverez un lien “Gérer DNSSEC” dans la section “Serveurs de nom”, en bas à droite de la fiche domaine. Il vous faut donc générer vos clefs. La méthode la plus répandue est d'utiliser l'outil en ligne de commande dnssec-keygen distribué par l'ISC, qui s'exécute en console. De nombreux tutoriaux sont disponibles sur l'utilisation de cette commande.

Une fois vos clés entrées, il vous faut soumettre au Registre la clé publique via l'interface Gandi :

Le système vérifiera que votre clé est bien valide et l'enverra donc au Registre associé à votre nom de domaine..

Nous avons laissé la possibilité d'injecter jusqu'à 4 clés via l'interface Gandi. Et il est bien évidemment possible d'en effacer à tout moment. Lorsqu'au moins une clé est déjà active, vous pouvez tout simplement en ajouter une nouvelle juste sous la dernière.

Vous ne pouvez pas envoyer vos clés DS directement. En effet, nous la calculons pour vous sur la base de la KSK ou ZSK, puis l'envoyons au registre directement.

Dernière modification: le 09/04/2014 à 14:24 par Loïc B. (Gandi)