Différences

Ci-dessous, les différences entre deux révisions de la page.

--- doc:dnssec [2014/07/17 19:24] – créée - fork depuis [[doc:dns]] olivier.caillault
+++ doc:dnssec [2014/07/29 17:08] – [Liens externes] - ajout des RFCs olivier.caillault
@@ Ligne 1: / Ligne 1: @@
 ====== DNSSEC ======
 ===== Fonctionnement =====
+==== Protocole ====
 DNSSEC (//DNS SECurity Extensions//) est une extension du protocole DNS qui lui rajoute la possibilité d’authentifier les réponses et de les valider à l’aide de la cryptographie. Attention, les requêtes sont toujours envoyées en clair, elles ne sont jamais chiffrées. Le principe est le même que la signature d’un courriel avec le protocole [[PGP]]. Le propriétaire d’une zone possède une paire de clef qui lui permet de signer ses enregistrements. Cela permet d’une part de certifier que l’enregistrement est légitime, mais aussi de certifier de manière dynamique l’absence d’un domaine.
@@ Ligne 12: / Ligne 12: @@
 De cette manière, seule la clef de la racine est nécessaire à valider les différentes zones du DNS.
+==== Enregistrements ====
+La [[http://tools.ietf.org/html/rfc4034|RFC4034]] définit 4 nouveaux enregistrements DNS pour les nouvelles fonctionnalités de DNSSEC.
+  * DS : Delegation Signer. Équivalent de NS pour déléguer la signature d’une zone.
+  * RRSIG
+  * DNSKEY : clef publique servant à signer un ensemble d'enregistrements ou une zone
+  * NSEC
+La [[http://tools.ietf.org/html/rfc5155|RFC5155]] en ajoute deux.
+  * NSEC3
+  * NSEC3PARAM
+==== Déploiement ====
+DNSSEC n'est pas disponible pour tout les TLDs ni chez tout les registrars. Avant d'essayer de le mettre en place, assurez-vous que votre registrar le supporte. l'ICANN tient [[https://www.icann.org/resources/pages/deployment-2012-02-25-en|une liste]] des TLDs supportés par registrars pour la propagation de records DS.
 ===== Génération des clefs =====
@@ Ligne 45: / Ligne 62: @@
 Enfin, pour déléguer une zone, pensez à déléguer les signatures avec un enregistrement DS, qui n’est pas généré par la commande précédente. Il suffit alors de configurer DNSSEC avec son registrar pour que les signatures deviennent valides.
+===== Débug et test de configuration =====
+  * http://dnssec-debugger.verisignlabs.com/
+  * http://dnscheck.iis.se/
+  * http://dnsviz.net/
+  * http://dnscheck.pingdom.com/
 ===== Automatisation =====
@@ Ligne 52: / Ligne 76: @@
 Cette section est incomplète.
+===== Liens externes =====
+  * [[http://ensiwiki.ensimag.fr/index.php/Introduction_%C3%A0_DNSSEC|DNSSEC sur le wiki de l'ENSIMAG (fr)]]
+  * [[http://www.dnssec.net/rfc|liste des RFCs relatives au DNSSEC (en)]]
+  * analyse des RFCs par Stéphane Bortzmeyer: [[http://www.bortzmeyer.org/4033.html|4033 (fr)]], [[http://www.bortzmeyer.org/4034.html|4034 (fr)]], [[http://www.bortzmeyer.org/4035.html|4035 (fr)]]
+  * [[https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions|DNSSEC sur Wikipédia (en)]]
+  * [[https://www.icann.org/en/news/in-focus/dnssec/deployment|liste des registrars supportant DNSSEC (en)]]