DNSSEC en toute simplicité
DNSSEC signe les enregistrements DNS afin que les résolveurs puissent vérifier l’authenticité et l’intégrité.
Pourquoi c’est important
- Protège contre l’empoisonnement de cache et les réponses falsifiées.
- Empêche les manipulations invisibles entre serveur faisant autorité et résolveur.
Mise en place
- Activer DNSSEC chez votre fournisseur DNS pour la zone.
- Publier l’enregistrement DS au registre (via le bureau d’enregistrement).
- Faire tourner les clés en sécurité ; surveiller les signatures et leur expiration.
Pièges fréquents
- DS cassé après un transfert de domaine.
- Enregistrements non signés/nouveaux à cause d’une signature de zone obsolète.
- Décalage d’horloge ou signatures expirées → échecs de résolution.