Comment utiliser le DNSSEC si vous enregistrez votre nom de domaine avec un registre, mais que vous hébergez en réalité les enregistrements DNS sur les serveurs de nom d’un autre fournisseur d’hébergement DNS ? Ou si vous hébergez les enregistrements DNS sur votre propre serveur de nom ?

Au moment d’établir notre liste de registres DNS et de DNSSEC prenant en charge les fournisseurs d’hébergement , nous avons pensé à vous donner un exemple étape par étape de la manière dont vous pouviez utiliser le DNSSEC avec un registre et un fournisseur d’hébergement DNS différents.

À titre d’exemple, nous avons choisi deux des fournisseurs de registre/d’hébergement à propos desquels nous avons déjà écrit : GKG.net et Dyn, Inc.. Nous aurions sans doute pu utiliser d’autres registres mais étant donné que le forfait d’hébergement DNS que nous avions déjà acheté à Dyn, Inc, comprenait la gestion possible de 10 domaines, il nous a semblé plus judicieux de les utiliser. De plus, les deux entreprises prennent en charge le DNSSEC et l’IPv6.

Le programme « Deploy 360 » de l’Internet Society ne conseille ni ne soutient de registres de domaines particuliers. L’information fournie ici a pour but d’aider les utilisateurs de ce registre à comprendre comment signer leurs domaines avec le DNSSEC et fait partie d’un programme élargi de collecte d’informations sur tous les registres de domaines connus pour prendre en charge le DNSSEC. Si vous connaissez un registre supplémentaire que nous devrions ajouter, selon vous, merci de nous contacter.

Dans cet exemple, nous avons décidé d’utiliser le domaine « dnssec-test-gkg.com » que nous avions déjà enregistré avec GKG.net et d’héberger les enregistrements DNS chez Dyn, Inc. Les étapes concernées étaient les suivantes :

1. Paramétrer la zone DNS et les enregistrements auprès du fournisseur d’hébergement DNS. Chaque fournisseur d’hébergement DNS dispose de sa propre interface web et de son propre système pour ajouter des enregistrements. Dans le cas présent, nous avons juste créé une toute nouvelle zone chez Dyn, Inc. et ajouté un enregistrement A et AAAA à la zone, essentiellement pour avoir quelques enregistrements en plus dans la zone.

2. Toujours au niveau du fournisseur d’hébergement DNS, signer le domaine avec les DNSSEC. Nous avons simplement suivi les étapes que nous avions décrites pour la signature des domaines avec le DNSSEC en ayant recours à Dyn, Inc. Le résultat final est que nous avons un domaine signé avec un enregistrement DS :

3. Au niveau du registre, changer les enregistrements du serveur de nom pour le domaine afin d’indiquer les serveurs de nom du fournisseur d’hébergement DNS. Là encore, chaque registre dispose d’une interface web légèrement différente. Voici comme GKG.net nous a laissé changer les serveurs de nom :

Ce changement peut prendre du temps à mettre en place au sein d’une infrastructure DNS plus large. Tant que le changement n’a pas été totalement mis en place, les individus continuent à voir arriver des enregistrements DNS des vieux serveurs de nom.

À ce stade, nous avons un domaine signé avec le DNSSEC et le fournisseur d’hébergement DNS et nous avons changé les enregistrements au niveau du registre pour pointer vers les serveurs de nom du fournisseur d’hébergement DNS.

Nous sommes presque prêt à démarrer.

Si nous faisons fonctionner le domaine test grâce à l’outil Analyseur du DNSSEC, nous constaterons qu’un problème demeure :

Le problème est que nous n’avons pas encore paramétré un enregistrement dusigneur de délégation (DS) au niveau du registre qui relie notre zone signée DNSSEC à la chaîne globale de confiance. Il nous faut ajouter ce point de « colle » entre le domaine de niveau supérieur signé DNSSEC et nos enregistrements de zone réels signé DNSSEC.

4. Pour terminer cette liaison, au niveau du registre, ajouter un enregistrement DS en copiant l’information fournie par le fournisseur d’hébergement DNS. GKG.net fournit une interface web facile à utiliser :

Appuyer sur la « touche Ajouter » doit permettre d’ajouter l’enregistrement DNS. Dans notre cas, peut-être à cause du timing de création de ce didacticiel, nous avons reçu un avertissement selon lequel GKG.net ne pouvait pas vérifier l’exactitude de l’enregistrement DS :

Après avoir effectué une double vérification au niveau du fournisseur d’hébergement DNS de la validité de toutes les informations, nous avons coché la case indiquant que l’enregistrement vérifié était bien correct et le bouton Ajouter Enregistrement appuyé. Cela a abouti à la création d’un enregistrement DS :

GKG.net a publié automatiquement notre enregistrement DS et nous n’avions rien d’autre à faire.

5. Enfin, vérifiez que le DNSSEC fonctionne en utilisant un outil tel que l’analyseur DNSSEC de Verisign Labs’. Voici les résultats obtenus pour notre domaine de test:

Veuillez remarquer qu’il peut y avoir des retards dans la mise en place. Il peut donc y avoir un temps d’attente après avoir ajouté l’enregistrement DS avant de voir le lien s’afficher dans les résultats de l’analyseur DNSSE. Dans notre cas, l’attente n’a duré que quelques minutes mais cela pourra être différent pour vous.

Grâce à cela, nous avons à présent un DNSSEC opérationnel avec un domaine enregistré avec un seul registre (GKG.net) et hébergé par un fournisseur différent (Dyn, Inc.). Les étapes à suivre sont fondamentalement les mêmes pour tous les registres et les fournisseurs d’hébergement, même si les interfaces utilisateurs peuvent être extrêmement différentes. Remarquez également qu’au lieu d’utiliser un fournisseur d’hébergement DNS, vous pourriez gérer votre propre serveur de nom et effectuer toute la signature DNSSEC sur votre propre système.

Indépendamment du fait que vous utilisez un fournisseur d’hébergement DNS ou votre propre serveur de nom, le point essentiel est qu’À LA FOIS votre registre de domaine et votre fournisseur d’hébergement DNS doivent prendre en charge le DNSSEC. (Consultez notre liste.)