Activation du DNSSEC

Qu'est-ce que DNSSEC ?

Mis au point dans les années 80, le DNS (Domain Name System) est le maillon clé du fonctionnement de l’Internet car la quasi-totalité des services en ligne utilisent des noms de domaine à un moment ou à un autre. Depuis 2008, avec la révélation de la « Faille Kaminsky », sécuriser le DNS est devenu obligatoire afin d'éviter les méthodes d'empoisonnement (détournement du traffic par exemple).

Si le registre de l'extension le supporte, DNSSEC signe cryptographiquement les enregistrements DNS et met cette signature dans le DNS. Ainsi, un client DNS méfiant peut récupérer la signature et, s’il possède la clé du serveur, vérifier que les données sont correctes.

Remarques importantes

DNSSEC fait intervenir :

  • le serveur DNS de votre domaine
  • le registrar
  • le registre
  • le serveur dns du fournisseur d'accès

Comme il faut tenir compte du temps de propagation dns et des caches potentiels, en dehors de la solution clé en main (cas 1), DNSSEC est réservé à des personnes averties.

Si vous configurez vous même DNSSEC :

  • Pour vérifier, utiliser les outils externes réputés tel que https://dnssec-analyzer.verisignlabs.com/ ou http://dnsviz.net/
  • Les registres ne supportent pas tous les mêmes algorithmes
  • Les serveurs dns (clients) ne vérifient pas tous DNSSEC encore et répondront bien même si DNSSEC est mal configuré

Configuration

Cas 1 - Votre Domain et la gestion DNS sont chez Online

Activation

Si l'extension du domaine supporte DNSSEC, il suffit de valider en cliquant sur le bouton “ACTIVER DNSSEC”.

Desactivation

Désactiver via le bouton “DESACTIVER DNSSEC”. Par sécurité, il est conseillé de le réactiver après 48h.

Cas 2 - Votre Domain est chez Online et vous avez votre propre serveur DNS

Activation

Après avoir généré la clé selon l'algorithme compatible avec votre extension, vous pouvez renseigner ici les informations à envoyer au registre via le registrar. En cas d'erreur, vous pouvez mettre à jour ces informations (attention à la propagation).

Desactivation

Désactiver via le bouton “SUPPRIMER L ENREGISTREMENT DS”, la suppression est demandée sur le registre. C'est à vous de supprimer les champs sur votre serveur DNS (attention à la propagation).