Mise en place du DNSSEC pour un domaine suisse avec des technologies standard

Introduction

DNSSEC, c'est deux aspects:

Ce document a pour but d'être un résumé pratique des étapes à effectuer, avec du logiciel standard (BIND9).

Configuration d'un serveur de nom pour faire des requêtes récursives validées

Principe de base: il faut insérer des clés (appelées des "trust anchors" ou liens de confiance) dans la configuration du serveur de nom. Ces liens de confiance sont simplement des clés publiques auxquelles on fait confiance (téléchargées puis vérifiées par un autre moyen: réseau de confiance GPG, certificat X.509, ...) et qui définiront l'équivalent d'un CA dans le monde X.509.

Attention: ces clés doivent être régulièrement mises à jour! C'est pour ça que la IANA met à disposition un dépôt. Malheureusement pour le moment ce n'est pas complètement automatique avec BIND9.

Quelques recommandations
  • assurer que le serveur DNS fait uniquement des requêtes récursives
  • dnssec-enable yes; dnssec-validation yes;

Ce serveur peut maintenant assurer que les zones dont la clé publique est connue (ou pour lesquelles une chaîne de confiance existe) seront validées.

Configuration d'une zone signée

Travail local

Travail NIC/CH (SWITCH)

Références

-- MarcSCHAEFER - 14 Feb 2010
Topic revision: r3 - 07 Nov 2011, MarcSCHAEFER
This site is powered by FoswikiCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback