DNS & confiance
DNSSEC signe les enregistrements DNS afin que les résolveurs puissent vérifier l’authenticité et l’intégrité.
Pourquoi c’est important
- Protège contre l’empoisonnement de cache et les réponses falsifiées.
- Empêche les manipulations invisibles entre serveur faisant autorité et résolveur.
Mise en place
- Activer DNSSEC chez votre fournisseur DNS pour la zone.
- Publier l’enregistrement DS au registre (via le bureau d’enregistrement).
- Faire tourner les clés en sécurité, surveiller les signatures et leur expiration.
Pièges fréquents
- DS cassé après un transfert de domaine.
- Enregistrements non signés/nouveaux à cause d’une signature de zone obsolète.
- Décalage d’horloge ou signatures expirées → échecs de résolution.
En bref
DNSSEC signe les enregistrements DNS pour éviter l’usurpation. Signez votre zone, publiez l’enregistrement DS chez le registraire et activez la validation côté résolveur.
Checklist en 5 minutes
- Créer les clés KSK/ZSK avec un algorithme moderne (p., ex. ECDSA).
- Signer la zone et publier l’enregistrement DS au registre.
- Activer NSEC3 (opt-out si nécessaire) pour éviter l’énumération.
- Planifier les rotations automatiques et surveiller l’expiration des signatures.
- Tester avec
dig +dnssecet un analyseur externe.