Ceci est une ancienne révision du document !


Activation du DNSSEC

Qu'est-ce que DNSSEC ?

Le DNS (Domain Name System) est le maillon clé du fonctionnement de l’Internet car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre. Mis au point dans les années 80, avec le temps, et notamment depuis 2008, avec la révélation de la « Faille Kaminsky », la nécessité de sécuriser le DNS est devenue obligatoire eviter les méthodes d'empoisonnement de serveur DNS (en vue de détourner le traffic par exemple).

Si le registre de l'extension le supporte, DNSSEC signe cryptographiquement les enregistrements DNS et met cette signature dans le DNS. Ainsi, un client DNS méfiant peut récupérer la signature et, s’il possède la clé du serveur, vérifier que les données sont correctes.

Remarques importantes

DNSSEC fait intervenir :

  • le serveur dns de votre domaine
  • le registrar
  • le registre
  • le serveur dns du fournisseur d'accès

Comme il faut tenir compte du temps de propagation dns et des caches potentiels, en dehors de la solution clé en main ( cas 1 ), DNSSEC est reservé à des personnes avertis.

Si vous configurez vous même DNSSEC :

Configuration

Cas 1 - Votre Domain et la gestion DNS sont chez Online

Activation

Si l'extension du domaine supporte DNSSEC, il suffit de valider en cliquant sur le bouton “ACTIVER DNSSEC”.

Desactivation

En désactivant via le bouton “DESACTIVER DNSSEC”, par sécurité, il est conseillé de ne le reactiver qu'après 48H.

Cas 2 - Votre Domain est chez Online et vous avez votre propre serveur Dns

Activation

Après avoir généré la clé selon l'algorithme compatible avec votre extension, vous pouvez renseigner ici les informations à envoyer au registre via le registrar. En cas d'erreur, vous pouvez mettre à jour ses informations ( attention à la propagation ).

Desactivation

En désactivant via le bouton le DNSSEC, la supression est demandé sur le registre. C'est à vous de supprimer les champs sur votre serveur dns ( attention à la propagation ).