| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| doc:dnssec [2014/07/17 19:32] – insertion des enregistrements olivier.caillault | doc:dnssec [2020/07/19 09:58] (Version actuelle) – [Liste des algorithmes] chiahetcho |
|---|
| ====== DNSSEC ====== | ====== DNSSEC ====== |
| ===== Fonctionnement ===== | ===== Fonctionnement ===== |
| | ==== Protocole ==== |
| DNSSEC (//DNS SECurity Extensions//) est une extension du protocole DNS qui lui rajoute la possibilité d’authentifier les réponses et de les valider à l’aide de la cryptographie. Attention, les requêtes sont toujours envoyées en clair, elles ne sont jamais chiffrées. Le principe est le même que la signature d’un courriel avec le protocole [[PGP]]. Le propriétaire d’une zone possède une paire de clef qui lui permet de signer ses enregistrements. Cela permet d’une part de certifier que l’enregistrement est légitime, mais aussi de certifier de manière dynamique l’absence d’un domaine. | DNSSEC (//DNS SECurity Extensions//) est une extension du protocole DNS qui lui rajoute la possibilité d’authentifier les réponses et de les valider à l’aide de la cryptographie. Attention, les requêtes sont toujours envoyées en clair, elles ne sont jamais chiffrées. Le principe est le même que la signature d’un courriel avec le protocole [[PGP]]. Le propriétaire d’une zone possède une paire de clef qui lui permet de signer ses enregistrements. Cela permet d’une part de certifier que l’enregistrement est légitime, mais aussi de certifier de manière dynamique l’absence d’un domaine. |
| |
| ==== Enregistrements ==== | ==== Enregistrements ==== |
| |
| | La [[http://tools.ietf.org/html/rfc4034|RFC4034]] définit 4 nouveaux enregistrements DNS pour les nouvelles fonctionnalités de DNSSEC. |
| * DS : Delegation Signer. Équivalent de NS pour déléguer la signature d’une zone. | * DS : Delegation Signer. Équivalent de NS pour déléguer la signature d’une zone. |
| | * RRSIG |
| | * DNSKEY : clef publique servant à signer un ensemble d'enregistrements ou une zone |
| | * NSEC |
| |
| | La [[http://tools.ietf.org/html/rfc5155|RFC5155]] en ajoute deux. |
| | * NSEC3 |
| | * NSEC3PARAM |
| |
| TODO | |
| |
| | ==== Déploiement ==== |
| | |
| | DNSSEC n'est pas disponible pour tout les TLDs ni chez tout les registrars. Avant d'essayer de le mettre en place, assurez-vous que votre registrar le supporte. l'ICANN tient [[https://www.icann.org/resources/pages/deployment-2012-02-25-en|une liste]] des TLDs supportés par registrars pour la propagation de records DS. |
| |
| ===== Génération des clefs ===== | ===== Génération des clefs ===== |
| |
| Enfin, pour déléguer une zone, pensez à déléguer les signatures avec un enregistrement DS, qui n’est pas généré par la commande précédente. Il suffit alors de configurer DNSSEC avec son registrar pour que les signatures deviennent valides. | Enfin, pour déléguer une zone, pensez à déléguer les signatures avec un enregistrement DS, qui n’est pas généré par la commande précédente. Il suffit alors de configurer DNSSEC avec son registrar pour que les signatures deviennent valides. |
| | |
| | ===== Débug et test de configuration ===== |
| | |
| | * http://dnssec-debugger.verisignlabs.com/ |
| | * http://dnscheck.iis.se/ |
| | * http://dnsviz.net/ |
| | * http://dnscheck.pingdom.com/ |
| |
| ===== Automatisation ===== | ===== Automatisation ===== |
| |
| Cette section est incomplète. | Cette section est incomplète. |
| | |
| | ===== Liste des algorithmes ===== |
| | |
| | La liste est disponible sur le site de l'[[https://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml|IANA]] et a été établie suite à plusieurs RFC portant sur les DNSSEC. |
| | |
| | |
| | ^ Valeur ^ Algorithme ^ Signature de zone ^ Référence Algo ^ Référence DNSSEC ^ Statut ^ |
| | | 1 | RSA/MD5 | non | RFC 2537 | | Déprécié | |
| | | 3 | DSA/SHA-1 | oui | RFC 2536 | | Optionnel | |
| | | 5 | RSA/SHA-1 | oui | RFC 3110 | | Impératif | |
| | | 6 | DSA-NSEC3-SHA1 | oui | | [[http://tools.ietf.org/html/rfc5155|RFC 5155]] | Optionel | |
| | | 7 | RSASHA1-NSEC3-SHA1 | oui | | [[http://tools.ietf.org/html/rfc5155|RFC 5155]] | Recommandé | |
| | | 8 | RSA/SHA-256 (RSASHA256) | oui | [[http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf|FIPS 180-3]] | [[http://tools.ietf.org/html/rfc5702|RFC 5702]] | Recommandé | |
| | | 10 | RSA/SHA-512 (RSASHA512) | oui | [[http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf|FIPS 180-3]] | [[http://tools.ietf.org/html/rfc5702|RFC 5702]] | Recommandé | |
| | | 12 | GOST R 34.10-2001 (ECC-GOST)| oui | [[http://tools.ietf.org/html/rfc5831|RFC 5831]], [[http://tools.ietf.org/html/rfc5832|RFC 5832]] | [[http://tools.ietf.org/html/rfc5933|RFC 5933]] | Optionnel | |
| | | 13 | ECDSA Curve P-256 with SHA-256 (ECDSAP256SHA256) | oui | [[http://csrc.nist.gov/publications/fips/fips186-3/fips_186-3.pdf|FIPS 186-3]] | [[http://tools.ietf.org/html/rfc6605|RFC 6605]] | Recommandé | |
| | | 14 | ECDSA Curve P-384 with SHA-384 (ECDSAP384SHA384) | oui | [[http://csrc.nist.gov/publications/fips/fips186-3/fips_186-3.pdf|FIPS 186-3]] | [[http://tools.ietf.org/html/rfc6605|RFC 6605]] | Recommandé | |
| | | 253 | Algorithme privé (PRIVATEDNS) | oui | [[http://tools.ietf.org/html/rfc4034#appendix-A.1.1|RFC 4034]] || Optionnel | |
| | | 254 | OID de l'algorithme privé (PRIVATEOID) | oui | [[http://tools.ietf.org/html/rfc4034#appendix-A.1.1|RFC 4034]] || Optionnel | |
| |
| ===== Liens externes ===== | ===== Liens externes ===== |
| * [[https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions | DNSSEC sur Wikipédia (en)]] | * [[http://ensiwiki.ensimag.fr/index.php/Introduction_%C3%A0_DNSSEC|DNSSEC sur le wiki de l'ENSIMAG (fr)]] |
| * [[https://www.icann.org/en/news/in-focus/dnssec/deployment | liste des registrars supportant DNSSEC (en)]] | * [[http://www.dnssec.net/rfc|Liste des RFCs relatives au DNSSEC (en)]] |
| | * Analyse des RFCs par Stéphane Bortzmeyer: [[http://www.bortzmeyer.org/4033.html|4033 (fr)]], [[http://www.bortzmeyer.org/4034.html|4034 (fr)]], [[http://www.bortzmeyer.org/4035.html|4035 (fr)]] |
| | * [[https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions|DNSSEC sur Wikipédia (en)]] |
| | * [[https://www.icann.org/en/news/in-focus/dnssec/deployment|Liste des registrars supportant DNSSEC (en)]] |
