Wiki de FedeRez

Outils pour utilisateurs

Outils du site

Piste :
doc:dnssec

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
doc:dnssec [2014/07/17 19:43] – ajout de détails sur le déploiement olivier.caillaultdoc:dnssec [2020/07/19 09:58] (Version actuelle) – [Liste des algorithmes] chiahetcho
Ligne 15: Ligne 15:
 ==== Enregistrements ==== ==== Enregistrements ====
  
 +La [[http://tools.ietf.org/html/rfc4034|RFC4034]] définit 4 nouveaux enregistrements DNS pour les nouvelles fonctionnalités de DNSSEC.
   * DS : Delegation Signer. Équivalent de NS pour déléguer la signature d’une zone.   * DS : Delegation Signer. Équivalent de NS pour déléguer la signature d’une zone.
 +  * RRSIG
 +  * DNSKEY : clef publique servant à signer un ensemble d'enregistrements ou une zone
 +  * NSEC
  
 +La [[http://tools.ietf.org/html/rfc5155|RFC5155]] en ajoute deux.
 +  * NSEC3
 +  * NSEC3PARAM
  
-TODO 
  
 ==== Déploiement ==== ==== Déploiement ====
Ligne 56: Ligne 62:
  
 Enfin, pour déléguer une zone, pensez à déléguer les signatures avec un enregistrement DS, qui n’est pas généré par la commande précédente. Il suffit alors de configurer DNSSEC avec son registrar pour que les signatures deviennent valides. Enfin, pour déléguer une zone, pensez à déléguer les signatures avec un enregistrement DS, qui n’est pas généré par la commande précédente. Il suffit alors de configurer DNSSEC avec son registrar pour que les signatures deviennent valides.
 +
 +===== Débug et test de configuration =====
 +
 +  * http://dnssec-debugger.verisignlabs.com/
 +  * http://dnscheck.iis.se/
 +  * http://dnsviz.net/
 +  * http://dnscheck.pingdom.com/
  
 ===== Automatisation ===== ===== Automatisation =====
Ligne 62: Ligne 75:
  
 Cette section est incomplète. Cette section est incomplète.
 +
 +===== Liste des algorithmes =====
 +
 +La liste est disponible sur le site de l'[[https://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml|IANA]] et a été établie suite à plusieurs RFC portant sur les DNSSEC.
 +
 +
 +^  Valeur  ^  Algorithme        Signature de zone  ^  Référence Algo  ^  Référence DNSSEC  ^  Statut  ^
 +|    1   | RSA/MD5 |  non  |  RFC 2537  | |  Déprécié  |
 +|    3   | DSA/SHA-1 |  oui  |  RFC 2536  | |  Optionnel  |
 +|    5   | RSA/SHA-1 |  oui  |  RFC 3110  | |  Impératif  |
 +|    6   | DSA-NSEC3-SHA1 |  oui  | |  [[http://tools.ietf.org/html/rfc5155|RFC 5155]]  |  Optionel  |
 +|    7   | RSASHA1-NSEC3-SHA1 |  oui  | |  [[http://tools.ietf.org/html/rfc5155|RFC 5155]]  |  Recommandé  |
 +|    8   | RSA/SHA-256 (RSASHA256) |  oui  |  [[http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf|FIPS 180-3]]  |  [[http://tools.ietf.org/html/rfc5702|RFC 5702]]  |  Recommandé  |
 +|   10   | RSA/SHA-512 (RSASHA512) |  oui  |  [[http://csrc.nist.gov/publications/fips/fips180-3/fips180-3_final.pdf|FIPS 180-3]]  |  [[http://tools.ietf.org/html/rfc5702|RFC 5702]]  |  Recommandé  |
 +|   12   | GOST R 34.10-2001 (ECC-GOST)|  oui  |  [[http://tools.ietf.org/html/rfc5831|RFC 5831]], [[http://tools.ietf.org/html/rfc5832|RFC 5832]]  |  [[http://tools.ietf.org/html/rfc5933|RFC 5933]]  |  Optionnel  |
 +|   13   | ECDSA Curve P-256 with SHA-256 (ECDSAP256SHA256) |  oui  |  [[http://csrc.nist.gov/publications/fips/fips186-3/fips_186-3.pdf|FIPS 186-3]]  | [[http://tools.ietf.org/html/rfc6605|RFC 6605]]  |  Recommandé  |
 +|   14   | ECDSA Curve P-384 with SHA-384 (ECDSAP384SHA384) |  oui  |  [[http://csrc.nist.gov/publications/fips/fips186-3/fips_186-3.pdf|FIPS 186-3]]  | [[http://tools.ietf.org/html/rfc6605|RFC 6605]] |  Recommandé  |
 +|  253   | Algorithme privé (PRIVATEDNS) |  oui  |  [[http://tools.ietf.org/html/rfc4034#appendix-A.1.1|RFC 4034]]  ||  Optionnel  |
 +|  254   | OID de l'algorithme privé (PRIVATEOID) |  oui  |  [[http://tools.ietf.org/html/rfc4034#appendix-A.1.1|RFC 4034]]  ||  Optionnel  |
  
 ===== Liens externes ===== ===== Liens externes =====
-  * [[https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions | DNSSEC sur Wikipédia (en)]] +  * [[http://ensiwiki.ensimag.fr/index.php/Introduction_%C3%A0_DNSSEC|DNSSEC sur le wiki de l'ENSIMAG (fr)]] 
-  * [[https://www.icann.org/en/news/in-focus/dnssec/deployment | liste des registrars supportant DNSSEC (en)]]+  * [[http://www.dnssec.net/rfc|Liste des RFCs relatives au DNSSEC (en)]] 
 +  * Analyse des RFCs par Stéphane Bortzmeyer: [[http://www.bortzmeyer.org/4033.html|4033 (fr)]], [[http://www.bortzmeyer.org/4034.html|4034 (fr)]], [[http://www.bortzmeyer.org/4035.html|4035 (fr)]] 
 +  * [[https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions|DNSSEC sur Wikipédia (en)]] 
 +  * [[https://www.icann.org/en/news/in-focus/dnssec/deployment|Liste des registrars supportant DNSSEC (en)]]
doc/dnssec.1405619008.txt.gz · Dernière modification : 2014/07/17 19:43 de olivier.caillault
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki