DNSSEC existe depuis 1999 mais a toujours eu une réputation de complexité et d’opération risquée. Depuis les années 2015, les protocoles se sont standardisés et une implémentation généralisée a commencé à se mettre en place. DNSSEC est devenu aujourd’hui « relativement » facile à activer pour un domaine et une opération avec des risques limités.
Rappelons le protocole DNSSEC protège contre les réponses DNS falsifiées. Les zones protégées par DNSSEC sont signées par chiffrement afin de garantir que les enregistrements DNS reçus sont identiques à ceux publiés par le propriétaire du domaine. L’ICANN encourage fortement l’implémentation du protocole DNSSEC et demande aux registrars de prendre en charge le DNSSEC dans tous les types d’algorithmes DS disponibles. A noter qu’aujourd’hui, quelques registrars ne le supportent toujours pas.
La majorité des sites que nous infogérons sont sur Cloudflare pour des raisons de performances et de sécurité. Nous utilisons deux registrars (BookMyName et Gandi). L’avantage de l’un par rapport à l’autre ont été exposées ici : Quels sont les critères pour choisir un fournisseur de nom de domaine (registrar) ?.
Sommaire
De la difficulté pour configurer DNSSEC …
Autant que la 1ère étape sur Cloudflare est simple, la configuration dans l’interface du registrar peut être beaucoup plus délicate. En effet, les protocoles et les éléments demandés varient selon les spécifications du registrar. Certains registrars n’ont même rien prévu dans leur interface et demandent d’adresser un ticket au support technique.
Activation de DNSSEC sur Cloudflare pour un domaine :
Activation sur cloudflare :
L’activation sur Cloudflare est très simple. Pour cela, il faut sélectionner le domaine, aller sur le menu DNS puis cliquer sur le bouton « ACTIVER » :
Cloudflare fournit ensuite une page de sept éléments de configuration qui seront à reporter dans l’interface du domaine chez son registrar :
Signification des enregistrements générés :
1 | Enregistrement DS | Enregistrement complet que sera ajouté au domaine |
2 | Digest | Clef de l’enregistrement DS |
3 | Type Digest – 2 | Niveau de cryptage (SHA256) |
4 | Algorithme | N° d’algorithme utilisé pour la génération de la clef. Le registrar de votre domaine doit prendre en charge l’algorithme N°13 |
5 | Clé publique | La publique permet le chiffrement. Elle est connue de tous contrairement à la clef privée qui doit rester secrète. |
6 |
Balise clé | Appelée » Key Tag » en langue anglaise |
7 | Indicateurs | Appelés flags en langue anglaise |
Activation de DNSSEC chez Gandi :
Depuis l’interface de Gandi, après avoir sélectionné le domaine, cliquer sur le menu DNSSEC, puis AJOUTER UNE CLEF :
- Conserver le flag 257 (7),
- Sélectionner l’algorithme 13 (normalement, c’est celui par défaut),
- Copier et coller la clef Publique (5).
Le serveur de Gandi génère alors des enregistrements dans la base de registres. Il faut attendre environ une heure pour que DNSSEC soit pris en compte. Une implémentation réussie se manifeste chez Cloudflare par un message en dessous de l’option DNSSEC :
Activation de DNSSEC chez BookMyName :
Depuis l’interface de BookMyName, cliquer sur l’option GÉRER, puis Configurer DNSSEC. Saisissez le nom du domaine et validez :
- Copier et coller la balise clé (6) dans la zone Key Tag,
- Sélectionner l’algorithme 13 (et non le 8 par défaut),
- Copier et coller la zone Digest (2)
- Pour terminer la configuration, cliquer sur le bouton AJOUTER.
En cas d’erreur de configuration, votre site web deviendra inaccessible (DNSSEC ne pardonne pas). Pour corriger, il suffit de revenir sur l’interface du registrar et de supprimer la configuration.
En conclusion, une fois maitrisée, l’ajout de l’option DNSSEC n’est pas aussi complexe et aussi risquée qu’annoncée. Mettre en place le DNSSEC est un gage de sécurité supplémentaire pour votre domaine. Il peut même vous donner des points supplémentaires auprès des moteurs de recherche et améliorer le classement de votre site web.
Quelques compléments d’information sur DNSSEC :
- Article de l’ICAN : DNSSEC – Qu’est-ce que c’est et pourquoi est-ce important ?,
- L’excellent blog de Stéphane Bortzmeyer, l’expert francophone du DNS.