Mise en place du DNSSEC pour un domaine suisse avec des technologies standard

Introduction

DNSSEC, c'est deux aspects:

• configurer un serveur de nom qui fait des requêtes récursives pour valider (vérifier les signatures) les données qu'il reçoit; si pas signé pas de vérification (pour le moment)

• configurer une zone pour être signée

Ce document a pour but d'être un résumé pratique des étapes à effectuer, avec du logiciel standard (BIND9).

Configuration d'un serveur de nom pour faire des requêtes récursives validées

Principe de base: il faut insérer des clés (appelées des "trust anchors" ou liens de confiance) dans la configuration du serveur de nom. Ces liens de confiance sont simplement des clés publiques auxquelles on fait confiance (téléchargées puis vérifiées par un autre moyen: réseau de confiance GPG, certificat X.509, ...) et qui définiront l'équivalent d'un CA dans le monde X.509.

Attention: ces clés doivent être régulièrement mises à jour! C'est pour ça que la IANA met à disposition un dépôt. Malheureusement pour le moment ce n'est pas complètement automatique avec BIND9.

Quelques recommandations

• assurer que le serveur DNS fait uniquement des requêtes récursives
• dnssec-enable yes; dnssec-validation yes;

Ce serveur peut maintenant assurer que les zones dont la clé publique est connue (ou pour lesquelles une chaîne de confiance existe) seront validées.

Configuration d'une zone signée

Travail local

Travail NIC/CH (SWITCH)

Références

• http://www.dnssec.net/practical-documents
  • http://www.nlnetlabs.nl/publications/dnssec_howto/index.html

• http://www.nic.ch/, le lien DNSSEC en bas à gauche.

-- MarcSCHAEFER - 14 Feb 2010