EDX Network

Mise en place de DNSSEC

 

Résultat de recherche d'images pour "dnssec"

 

L'équipe EDX assistait jeudi dernier à une formation RIPE sur DNSSEC
        https://www.ripe.net/support/training/courses/dnssec


C'est une sécurisation du protocole DNS qui permet aux resolvers de s'assurer de l'intégrité

des données reçues. Cela fonctionne avec le système des clés publiques et clés privées.

Attention, l'idée n'est pas de crypter les données, mais bien de garantir que les données

sont conformes à celles présentes sur le serveur qui gère la zone DNS.

Depuis bind 9.9 (CentOS 7), la configuration est grandement simplifiée,et la réelle complexité

s'avère être la politique de mise à jour et rotation des clés

        http://www.bortzmeyer.org/7583.html

Pour les zones Reverses, c'est assez simple, il faut publier dans nos objets RIPE l'attribut:
    ds-rdata


Exemple:
        https://apps.db.ripe.net/db-web-ui/#/lookup?source=ripe&key=244.18.212.in-addr.arpa&type=domain

Pour les autres domaines, tout dépend de son registrar et de son éventuelle API.
On peut tester son domaine avec des outils en ligne tel que:
        http://dnsviz.net/d/244.18.212.in-addr.arpa/dnssec/

Ou en ligne de commande avec:
dig +dnssec ...
drill -s ...

Nous allons donc commencer le déploiement de DNSSEC sur nos zones courant 2018.

Certaines zones reverses seront en test afin de valider la procédure de rotation des clés.