Ce guide ci-dessous vous montre comment activer DNSSEC dans cPanel et chez votre registraire de domaine afin d'éviter les attaques de type "man-in-the-middle", les attaques d'empoisonnement du cache et d'autres types de falsifications DNS.
Étant donné qu'Internet définit actuellement chaque aspect de nos vies, il est souvent facile d'oublier que le système de noms de domaine (DNS) qui forme son noyau central est maintenu par des conduits et des rubans.
Lorsque le DNS a été conçu dans les années 1980, Internet était beaucoup plus petit et la sécurité n'a jamais été prise en compte car les membres du réseau se faisaient confiance.
Le monde a changé.
Les progrès de la technologie ont permis à Internet de faire partie intégrante de notre existence quotidienne.
Cela a créé des opportunités pour les exploits DNS, notamment l'usurpation de DNS/l'empoisonnement du cache, le tunneling DNS, le détournement de DNS, l'attaque NXDOMAIN, l'attaque de domaine fantôme, l'attaque CPE basée sur un botnet, etc.
Prenons une situation où un résolveur récursif envoie une requête à un serveur de noms faisant autorité.
Dans l'état actuel des choses, le résolveur n'a aucun moyen de vérifier l'authenticité de la réponse.
Il peut uniquement vérifier que la réponse semble provenir de la même adresse IP, à laquelle le résolveur a envoyé la requête d'origine, mais ne peut pas facilement détecter une réponse falsifiée à l'une de ses requêtes, le cas échéant.
Un attaquant peut facilement se faire passer pour le serveur faisant autorité, détourner la recherche DNS pour envoyer un utilisateur vers un site Web frauduleux qui distribue des logiciels malveillants ou collecter des informations personnelles sans que l'utilisateur ne s'en rende compte.
Les ingénieurs de l'Internet Engineering Task Force (IETF) (l'organisation responsable des normes de protocole DNS ) connaissaient cette faiblesse et cherchaient une solution.
Cet effort a abouti à ce que nous appelons aujourd'hui les extensions de sécurité DNSSEC (DNSSEC ).
DNSSEC (conçu pour être rétrocompatible) est un ensemble d'extensions qui ajoutent une sécurité supplémentaire au protocole DNS en mettant en œuvre une politique de signature numérique hiérarchique sur toutes les couches du DNS.
L'une de ses principales fonctions est de servir de protection efficace contre les attaques d'usurpation de DNS… lorsqu'il est correctement mis en œuvre.
L'authentification de l'origine des données de la validation des requêtes DNS permet à un résolveur de vérifier de manière cryptographique que les données qu'il a reçues proviennent bien de la zone d'où il pense que les données proviennent.
Et la protection de l'intégrité des données permet au résolveur de savoir que les données n'ont pas été modifiées en transit depuis qu'elles ont été initialement signées par le propriétaire de la zone avec la clé privée de la zone.
Conformément à notre promesse que nos clients auront toujours accès aux meilleures et dernières fonctionnalités offertes par cPanel , nous sommes heureux d'annoncer que vous pouvez désormais activer DNSSEC pour votre domaine sur tous nos serveurs de production cPanel.
Nous avons créé un guide détaillé sur la façon de procéder à l'adresse https://dashboard.webhostingmagic.com/knowledgebase/23/DNSSEC
Lorsque vous l'activez, DNSSEC ajoute une couche d'authentification au-dessus de votre DNS, vous permettant ainsi d'éviter tous les problèmes que nous avons mentionnés ci-dessus.
Pour le moment, DNSSEC n'est pas automatique.
Après avoir créé la clé dans cPanel, elle doit être spécifiquement activée par vous, le propriétaire du nom de domaine, sur les serveurs faisant autorité dans votre zone.
Le processus diffère de chaque bureau d'enregistrement, mais tout comme vous pouvez apporter d'autres modifications à une zone (comme les serveurs de noms faisant autorité d'une zone ), vous pouvez également mettre à jour le matériel de clé publique de la zone pour terminer la mise en œuvre de DNSSEC.
Sur cette page, nous avons répertorié certains des bureaux d'enregistrement de domaine les plus courants que certains de nos clients hébergeant leur DNS en dehors de nos systèmes ont utilisés.
Si le vôtre ne figure pas dans la liste, veuillez contacter l'équipe d'assistance de votre registraire de domaine pour obtenir de l'aide.
GRAND AVERTISSEMENT :N'IGNOREZ PAS CET AVERTISSEMENT
La première question que vous devez vraiment vous poser est, dois-je activer DNSSEC ?
La raison pour laquelle vous devez répondre à cette question est que l'activation de DNSSEC modifie fondamentalement la façon dont vous reliez ou gérez votre domaine et vos enregistrements DNS.
Par exemple, une fois que vous avez activé DNSSEC pour votre domaine, vous ne pouvez pas modifier vos serveurs de noms bon gré mal gré.
Avant de changer de serveur de noms, vous devez désactiver DNSSEC et attendre au moins 72 heures avant d'effectuer de tels changements.
Si vous ne le faites pas, votre domaine risque de ne pas être résolu.
Un autre exemple est lorsque vous devez transférer un nom de domaine vers un autre bureau d'enregistrement ou fournisseur de services d'hébergement Web.
Vous devez d'abord supprimer les enregistrements du serveur de domaine (DS), attendre que les modifications se propagent avant d'initialiser le transfert.
Si vous ne supprimez pas les anciens enregistrements DS du bureau d'enregistrement, les domaines peuvent générer des problèmes de résolution DNS en raison de réponses DNSSEC non valides.
Maintenant que c'est terminé, vous trouverez ci-dessous des liens dont vous aurez peut-être besoin pour effectuer l'activation DNSSEC auprès de votre registraire de domaine.
Registraire |
Instructions
123 Reg |
Contactez le support client de votre bureau d'enregistrement et fournissez les données d'enregistrement DS que vous avez générées sur Web Hosting Magic cPanel.
DNSimple |
Utilisation de l'hébergement Web Magic cPanel DNSSEC avec DNSimple
domaindiscount24 |
DNSSEC
dotster |
Contactez le support client de votre bureau d'enregistrement et fournissez les données d'enregistrement DS que vous avez générées sur Web Hosting Magic cPanel.
Hôte de rêve |
Présentation de DNSSEC
Dans DreamHost, utilisez 2 comme type de résumé au lieu de SHA256 .
dynadot |
Comment configurer DNSSEC ?
Énom |
Au moment d'écrire ces lignes, les serveurs de noms par défaut d'Enon ne prennent pas en charge la création des enregistrements de ressources appropriés pour créer une chaîne DNSSEC appropriée.
En savoir plus sur Ajouter un DNSSEC à un nom de domaine
gandi |
DNSSEC
Dans gandi, assurez-vous de sélectionner Algorithme 13 pour le menu déroulant Algorithme.
GoDaddy |
Pour configurer un enregistrement DS avec GoDaddy, procédez comme suit :
- Cliquez sur Gérer.
- Dans le coin supérieur droit de l'interface, sélectionnez la vue de liste.
- Sélectionnez le domaine pour lequel créer un enregistrement DS.
- Dans la section DS Records de l'interface Paramètres, cliquez sur Gérer.
- Cliquez sur Ajouter un enregistrement DS.
- Entrez les informations de la clé DNSSEC dans les zones de texte et cliquez sur Suivant. Le système validera les informations d'enregistrement DS que vous avez ajoutées.
- Cliquez sur Suivant, puis sur OK.
Ajouter un enregistrement DS
zone divine |
Contactez le support client de votre bureau d'enregistrement et fournissez les données d'enregistrement DS que vous avez générées sur Web Hosting Magic cPanel.
Dans le panneau de configuration Web godzone, vous pourrez peut-être ajouter un enregistrement DS sous les Domaines onglet.
Google Domains |
Si vous utilisez des serveurs de noms Google Domains, vous pouvez activer DNSSEC en un clic. Suivez ces instructions :
- Connectez-vous à Google Domains.
- Sélectionnez le nom de votre domaine.
- Ouvrir le menu
- Cliquez sur DNS .
- Faites défiler jusqu'à "DNSSEC".
- Cliquez sur Activer DNSSEC ou Désactiver DNSSEC pour modifier les paramètres du domaine.
Lorsque vous activez DNSSEC, il faut environ 2 heures pour que DNSSEC s'active complètement. Lorsque vous le désactivez, il y a un délai pouvant aller jusqu'à 2 jours avant la désactivation.
Si vous avez des serveurs de noms personnalisés, vous aurez peut-être besoin d'un fournisseur DNS tiers pour configurer DNSSEC pour votre domaine. De plus, vous devez activer DNSSEC sur Google Domains. Suivez les instructions ci-dessous :
- Identifiez le ou les enregistrements DNSKEY que vous avez créés dans Web Hosting Magic cPanel pour votre domaine.
- Obtenez les valeurs suivantes :
- Tag clé : Valeur numérique faisant référence à un enregistrement DNSKEY existant.
- Algorithme : Algorithme de chiffrement qui a créé la clé de sécurité dans l'enregistrement DNSKEY. Généralement associé à une fonction de hachage, comme dans RSA/SHA1.
- Type de résumé : Algorithme utilisé pour créer le résumé de l'enregistrement DNSKEY. Également appelé "algorithme de synthèse", "hachage de synthèse" ou "fonction de hachage de synthèse".
- Résumé : Valeur hachée de l'enregistrement DNSKEY qui l'identifie de manière unique sans exposer la valeur de la clé. Selon le type de résumé, la longueur est :
- SHA1 – 40 chiffres hexadécimaux
- SHA256 – 64 chiffres hexadécimaux
- SHA384 – 96 chiffres hexadécimaux
- Pour chaque enregistrement DNSKEY, créez au moins un enregistrement de ressource de délégation de signature (DS). Suivez ces étapes:
- Connectez-vous à Google Domains.
- Sélectionnez le nom de votre domaine.
- Ouvrez le menu.
- Cliquez sur DNS .
- Faites défiler jusqu'à "DNSSEC".
- Créez une entrée en utilisant les valeurs des étapes précédentes.
Google Cloud DNS et DNSSEC
Si DNSSEC a été activé lors de la création de la zone DNS, sélectionnez DNSSEC sur Activé et cliquez sur Enregistrer.
Google Cloud DNS créera des enregistrements DNSSEC pour les clés publiques (DNSKEY), les signatures (RRSIG) et l'inexistence (NSEC, ou NSEC3 et NSEC3PARAM) pour authentifier le contenu de votre zone et le gérer automatiquement.
Une fois cette action effectuée, il est temps de s'occuper de la partie Registrar.
Cliquez sur le nom de la zone, puis sur Configuration du registraire en haut à droite pour afficher les enregistrements de ressources DNSSEC à mettre à jour dans votre domaine.
Vous obtiendrez ces valeurs dont vous aurez besoin pour sécuriser le nom de domaine auprès de votre registraire.
- Balise clé :valeur numérique qui fait référence à un enregistrement DNSKEY existant ou valeur entière qui identifie l'enregistrement DNSSEC du domaine.
- Algorithme :algorithme de chiffrement qui a créé la clé de sécurité dans l'enregistrement DNSKEY.
- Type de résumé :algorithme utilisé pour créer le résumé de l'enregistrement DNSKEY.
- Digest :valeur hachée de l'enregistrement DNSKEY qui l'identifie de manière unique sans exposer la valeur de la clé.
survoler |
Comprendre et gérer DNSSEC
internet.bs |
Contactez le support client de votre bureau d'enregistrement et fournissez les données d'enregistrement DS que vous avez générées sur Web Hosting Magic cPanel.
Vous pourrez peut-être ajouter un enregistrement DS :
- Mes domaines > Mettre à jour la liste DNS > Gérer DNSSEC > Activer DNSSEC
Joker.com |
Assistance DNSSEC
Dans Joker.com, utilisez 2 comme type de résumé au lieu de SHA256 .
MarkMonitor |
MarkMonitor prend en charge l'algorithme de vérification 13 et implémente automatiquement le protocole EPP (Extensive Provisioning Protocol) pour transmettre les enregistrements DS au registre pour les TLD suivants :
.com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re
Pour ajouter un enregistrement DS, entrez les données DS dans les Détails DNSSEC panneau du portail de gestion MarkMonitor.
Surnom |
Contactez le support client de votre bureau d'enregistrement et fournissez les données d'enregistrement DS que vous avez générées sur Web Hosting Magic cPanel.
Vous pourrez peut-être ajouter un enregistrement DS :
- Mes domaines > Paramètres avancés > DNSSEC > DSData
nom.com |
Gestion de DNSSEC
namecheap |
Pour configurer un enregistrement DS avec NameCheap, procédez comme suit :
- Cliquez sur Liste de domaines dans le menu de gauche.
- Sélectionnez le domaine pour lequel configurer un enregistrement DS et cliquez sur Gérer.
- Cliquez sur DNS avancé.
- Activez l'option DNSSEC. Le menu des enregistrements DS apparaîtra.
- Cliquez sur AJOUTER UN NOUVEAU DS.
- Entrez les informations de la clé DNSSEC dans les zones de texte.
- Cliquez sur ENREGISTRER TOUTES LES MODIFICATIONS.
Gestion de DNSSEC pour les domaines pointés vers Custom DNS
OpenSRS |
Pour configurer un enregistrement DS avec OpenSRS, procédez comme suit :
- Cliquez sur Domaines.
- Recherchez le domaine pour lequel configurer un enregistrement DS et cliquez sur le nom du domaine.
- Faites défiler jusqu'à la section DNSSEC et cliquez sur Modifier. Le menu des enregistrements DS apparaîtra.
- Entrez les informations de la clé DNSSEC dans les zones de texte.
- Cliquez sur Enregistrer.
nomISP |
Comment activer DNSSEC pour mon domaine ?
L'activation de DNSSEC dans nameISP ne vous oblige pas à copier et coller les données d'enregistrement DS à partir de votre compte Magic cPanel d'hébergement Web.
namesilo |
Enregistrements DS (DNSSEC)
OVH |
OVH supporte DNSSEC avec l'algorithme 13 via leur API. Voir la documentation.
OVH prend également en charge l'ajout de l'enregistrement DS via son DNS Manager.
Registre du domaine public |
Contactez le support client de votre bureau d'enregistrement et fournissez les données d'enregistrement DS que vous avez générées sur Web Hosting Magic cPanel.
Ce bureau d'enregistrement peut avoir des TLD limités.
Voir Ajouter des enregistrements de signataire de délégation (DS).
register.com |
Contactez le support client de votre bureau d'enregistrement et fournissez les données d'enregistrement DS que vous avez générées avec Web Hosting Magic cPanel.
registro.br |
Tutoriels DNS et DNSSEC (en portugais)
Tsohost |
Contactez le support client de votre bureau d'enregistrement et fournissez les données d'enregistrement DS que vous avez générées avec Web Hosting Magic cPanel.
Lorsque DNSSEC a été appliqué avec succès à votre domaine, vous pouvez confirmer en examinant les informations WHOIS de votre domaine.
Les domaines avec DNSSEC liront "signedDelegation" dans le champ DNSSEC.
Vous pouvez également utiliser un outil en ligne tel que http://dnsviz.net/ ou https://dnssec-analyzer.verisignlabs.com/ pour valider votre DNSSEC.