Qu'est-ce que DNSSEC ?
one.com prend en charge DNSSEC, Domain Name System Security Extensions. Il est, par défaut, activé lors de l'utilisation des serveurs de noms de one.com. Dans cet article, nous vous expliquons plus en détail DNSSEC.
Afin de comprendre DNSSEC, il est utile de connaître les bases du DNS (Domain Name System). Pour vous rafraîchir la mémoire, vous pouvez consulter notre guide : DNS, c’est quoi ?
- Qu'est-ce que DNSSEC ?
- Que protège DNSSEC ?
- Comment gérer DNSSEC
- Comment vérifier que DNSSEC fonctionne
- Ne pas utiliser nos serveurs de noms > enregistrements DS
Nouvelle mise à jour du panneau de configuration one.com
Avec le déploiement de notre nouveau design de panneau de configuration, certaines étapes ou captures d’écran de ce guide peuvent différer de ce que vous voyez actuellement. Pendant que nous travaillons sur les mises à jour, veuillez consulter le guide ci-dessous chaque fois que les instructions ne correspondent pas à votre écran :
Qu'est-ce que DNSSEC ?
Le DNS en soi n'est pas sécurisé. Pour renforcer la sécurité, DNSSEC a été créé. Il s'agit d'un ensemble d'extensions ajoutant une couche de sécurité supplémentaire à la zone DNS en le signant numériquement. Si un nom de domaine utilise DNSSEC, les enregistrements DNS sont fournis avec des signatures cryptographiques (clés de sécurité).
Ces signatures sont validées par les résolveurs DNS, garantissant ainsi que les informations DNS proviennent du bon serveur DNS. De cette façon, l'enregistrement ne peut pas être modifié ou falsifié et n'a pas été altéré pendant le transit. Cela offre un moyen sécurisé d'accéder à votre site Web et à vos services en ligne.
Que protège DNSSEC ?
Le DNS est vulnérable à toute une gamme d'attaques basées sur le DNS, telles que l'usurpation de DNS, - le détournement et - l'empoisonnement du cache. Ces attaques peuvent avoir de graves conséquences, notamment en redirigeant les utilisateurs vers des sites Web malveillants ou frauduleux, en volant des informations sensibles ou en perturbant le fonctionnement normal d'Internet.
Les domaines signés DNSSEC garantissent l’authenticité et l’intégrité des données DNS échangées entre les zones signées. Renforcer la fiabilité et améliorer la sécurité globale de l’infrastructure DNS dans une zone individuelle.
Les données DNS ne sont pas chiffrées et ne fournissent pas de protection contre l’usurpation d’identité. TLS/SSL crypte les données échangées entre clients et serveurs pour sécuriser divers protocoles Internet, y compris la navigation Web (HTTPS) et le courrier électronique (SMTP, IMAP). D’autre part, un certificat SSL n’offre pas de protection contre l’usurpation d’identité, contrairement à DNSSEC. Pour en savoir plus sur SSL, consultez nos articles dans https://help.one.com/hc/fr/sections/115001491809-SSLcette section.
Conseil : si tu veux en savoir plus sur ce qu'est le DNSSEC et pourquoi il est important, consulte l'article de l'ICANN.
Comment gérer DNSSEC
DNSSEC est activé par défaut lors de l'utilisation des serveurs de noms de one.com. Si tu souhaites le désactiver, suis les étapes suivantes :
- Connectez-vous au panneau de contrôle one.com.
- Clique sur Paramètres DNS dans la tuile Paramètres avancés.
- Clique sur l'onglet Serveurs de noms.
- Dans l'administration de ton serveur de noms, clique sur l'onglet DNSSEC.
- Clique sur le bouton Désactiver .
Comment vérifier que DNSSEC fonctionne
Tu peux utiliser un outil de validation en ligne pour vérifier si la configuration DNSSEC fonctionne pour ton domaine. Nous en avons répertorié deux ci-dessous. Ils vérifient si les enregistrements DNS de ton domaine ont été signés correctement et peuvent être vérifiés par les résolveurs DNS ; ils fournissent également un rapport sur les éventuels problèmes ou erreurs.
-
DNSViz.net - Fournit une représentation visuelle. Vous ne devriez voir que "Secure" dans la colonne de gauche.
- DNSSEC-Analyzer.VeriSignLabs.com - Fournit des informations détaillées. Tu ne devrais voir que des vérifications vertes.
As-tu activé le DNSSEC via le panneau de contrôle one.com ? Dans ce cas, la vérification peut prendre jusqu'à 24 heures. Une barre verte avec le message de réussite est visible lorsqu'il est activé avec succès, comme le montre la capture d'écran ci-dessous. Lorsque tu revisiteras la page, cette notification ne sera plus affichée.
Utilisez-vous nos serveurs de noms ?
DNSSEC est automatiquement désactivé si tu passes à des serveurs de noms externes. La notification de la capture d'écran ci-dessous s'affichera alors dans le panneau de configuration de one.com sous "Paramètres DNS" > "Serveurs de noms" > "DNSSEC". Lorsque le DNSSEC est activé via ton fournisseur de DNS externe et qu'il y est activé, tu dois ajouter des enregistrements DS manuellement avec nous.
Ajout d'enregistrements DS
Les enregistrements de signature de délégation (DS) sont un composant essentiel de DNSSEC. Ils vous permettent de déléguer la confiance d’une zone parente à une zone enfant, connue sous le nom de « chaîne de confiance ». L’enregistrement DS est utilisé pour vérifier l’authenticité des zones enfants. Les enregistrements DS sont automatiquement configurés lorsque le domaine utilise les serveurs de noms de one.com.
Lorsque les serveurs de noms de one.com ne sont pas utilisés, vous ajoutez des enregistrements DS manuellement via le panneau de configuration one.com. Vous pouvez obtenir les 4 valeurs nécessaires, KeyTag, Algorithm, Digest type et Digest, auprès de votre fournisseur de serveurs de noms ou via un outil de génération. Suivez ensuite ces étapes pour créer un enregistrement DS :
- Connectez-vous au panneau de configuration one.com.
- Clique sur Paramètres DNS dans la tuile Paramètres avancés.
- Clique sur l'onglet Serveurs de noms.
- Dans l'administration de ton serveur de noms, clique sur l'onglet Enregistrements DS.
- Saisis la valeur dans les 4 champs distincts pour KeyTag, Algorithm, Digest type et Digest.
- Cliquez sur Enregistrer.
- Il va maintenant commencer à charger tes enregistrements DNS existants. Il affichera une barre verte avec un message de réussite si les enregistrements ont été ajoutés avec succès.
Remarque : l 'ajout d'enregistrements DNS incorrects peut entraîner une indisponibilité du site Web. Vous êtes invités à contacter notre support pour obtenir de l'aide si vous êtes préoccupé par quoi que ce soit sur les paramètres DNS.
Articles liés :