You are here: Foswiki>Sandbox Web>TrucsEtAstuces>MiseEnPlaceDNSSEC (02 Jun 2025, MarcSCHAEFER)Edit Attach

Mise en place du DNSSEC pour un domaine suisse avec des technologies standard

Introduction

DNSSEC permet de signer les enregistrements d'une zone, y compris les réponses négatives, sur la base d'un cryptosystème asymétrique dont la clé publique correspondante est publiée dans le DNS et signée par le domaine de niveau supérieur.

DNSSEC, c'est deux aspects:

Ce document a pour but d'être un résumé pratique des étapes à effectuer, avec du logiciel standard (BIND9).

Configuration d'un serveur de nom pour faire des requêtes récursives validées

Principe de base: il faut insérer des clés (appelées des "trust anchors" ou liens de confiance) dans la configuration du serveur de nom. Ces liens de confiance sont simplement des clés publiques auxquelles on fait confiance (téléchargées puis vérifiées par un autre moyen: réseau de confiance GPG, certificat X.509, ...) et qui définiront l'équivalent d'un CA dans le monde X.509.

Attention: ces clés doivent être régulièrement mises à jour! C'est pour ça que la IANA met à disposition un dépôt.

Avec les versions récentes de BIND9, c'est automatique (avec dnssec-validation auto).

Ce serveur peut maintenant assurer que les zones dont la clé publique est connue (ou pour lesquelles une chaîne de confiance existe) seront validées.

Tester avec: host www.dnssec-failed.org

Configuration d'une zone signée

Désormais, avec BIND9 récent (Debian bookworm), il suffit de faire, pour le protocole CDS: 

zone "a72.ch" {
   type master;
   file "/etc/bind/domains/a72.ch.zone";
   allow-transfer { secondaries_limited; };

   // https://kb.isc.org/docs/dnssec-key-and-signing-policy
   dnssec-policy "default";

   // https://nsrc.org/activities/agendas/en/dnssec-3-days/dns/materials/labs/en/dnssec-bind-inline-signing-howto.html
   // will not change the original zone nor need updatable zone
   inline-signing yes;
};

Après quelques jours, le registry NIC/CH va automatiquement activer le DNSSEC. Le registrar n'est impliqué que si configuration manuelle est nécessaire.

Le WHOIS montre alors DNSSEC: Yes

Les roll-over des clés devraient être automatiques.

Références

-- MarcSCHAEFER - 14 Feb 2010
Edit  | Attach | Print version | History: r4 < r3 < r2 < r1 | Backlinks | View wiki text | Edit wiki text | More topic actions
Topic revision: r4 - 02 Jun 2025, MarcSCHAEFER
This site is powered by FoswikiCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback