one.com prend en charge DNSSEC, Domain Name System Security Extensions (extensions de sécurité du système de noms de domaine). Il est, par défaut, activé lors de l'utilisation des serveurs de noms de one.com. Dans cet article, nous t'expliquons plus en détail ce qu'est le DNSSEC.
Pour comprendre le DNSSEC, il est utile de connaître les bases du DNS (Domain Name System). Pour te rafraîchir la mémoire, tu peux consulter notre guide DNS, c'est quoi ?
- Qu'est-ce que DNSSEC ?
- Que protège le DNSSEC ?
- Comment gérer DNSSEC
- Comment vérifier que DNSSEC fonctionne
- Ne pas utiliser nos serveurs de noms > enregistrements DS
Qu'est-ce que DNSSEC ?
Le DNS en lui-même n'est pas sécurisé. Pour ajouter de la sécurité, DNSSEC a été créé. Il s'agit d'un ensemble d'extensions qui ajoutent une couche de sécurité supplémentaire à la zone DNS en la signant numériquement. Si un nom de domaine utilise DNSSEC, les enregistrements DNS sont dotés de signatures cryptographiques (clés de sécurité).
Ces signatures sont validées par les résolveurs DNS, ce qui garantit que les informations DNS proviennent du bon serveur DNS. De cette façon, l'enregistrement ne peut pas être modifié ou falsifié et n'a pas été altéré pendant le transit. Cela permet de sécuriser l'accès à ton site Internet et à tes services en ligne.
Que protège DNSSEC ?
Le DNS est vulnérable à une série d'attaques basées sur le DNS, telles que l'usurpation d'identité, - le détournement et - l'empoisonnement du cache. Ces attaques peuvent avoir de graves conséquences, notamment la redirection des utilisateurs vers des sites Web malveillants ou frauduleux, le vol d'informations sensibles ou la perturbation du fonctionnement normal d'Internet.
Les domaines signés DNSSEC garantissent l'authenticité et l'intégrité des données DNS échangées entre les zones signées. Cela renforce la fiabilité et améliore la sécurité globale de l'infrastructure DNS dans une zone individuelle.
Les données DNS ne sont pas cryptées et n'offrent pas de protection de la confidentialité des données. TLS/SSL crypte les données échangées entre les clients et les serveurs pour sécuriser divers protocoles Internet, notamment la navigation sur le Web (HTTPS) et le courrier électronique (SMTP, IMAP). En revanche, un certificat SSL n'offre pas de protection contre l'usurpation d'identité, alors que DNSSEC en offre une. Pour en savoir plus sur SSL, consulte nos articles dans la cette section.
Conseil : si tu veux en savoir plus sur ce qu'est le DNSSEC et pourquoi il est important, consulte l'article de l'ICANN.
Comment gérer DNSSEC
DNSSEC est activé par défaut lors de l'utilisation des serveurs de noms de one.com. Si tu souhaites le désactiver, suis les étapes suivantes :
- Connectez-vous au panneau de contrôle one.com.
- Clique sur Paramètres DNS dans la tuile Paramètres avancés.
- Clique sur l'onglet Serveurs de noms.
- Dans l'administration de ton serveur de noms, clique sur l'onglet DNSSEC.
- Clique sur le bouton Désactiver .
Comment vérifier que DNSSEC fonctionne
Tu peux utiliser un outil de validation en ligne pour vérifier si la configuration DNSSEC fonctionne pour ton domaine. Nous en avons répertorié deux ci-dessous. Ils vérifient si les enregistrements DNS de ton domaine ont été signés correctement et peuvent être vérifiés par les résolveurs DNS ; ils fournissent également un rapport sur les éventuels problèmes ou erreurs.
- DNSViz.net - Fournit une représentation visuelle. Tu ne devrais voir que "Secure" dans la colonne de gauche.
- DNSSEC-Analyzer.VeriSignLabs.com - Fournit des informations détaillées. Tu ne devrais voir que des vérifications vertes.
As-tu activé le DNSSEC via le panneau de contrôle one.com ? Dans ce cas, la vérification peut prendre jusqu'à 24 heures. Une barre verte avec le message de réussite est visible lorsqu'il est activé avec succès, comme le montre la capture d'écran ci-dessous. Lorsque tu revisiteras la page, cette notification ne sera plus affichée.
Utilisez-vous nos serveurs de noms ?
DNSSEC est automatiquement désactivé si tu passes à des serveurs de noms externes. La notification de la capture d'écran ci-dessous s'affichera alors dans le panneau de configuration de one.com sous "Paramètres DNS" > "Serveurs de noms" > "DNSSEC". Lorsque le DNSSEC est activé via ton fournisseur de DNS externe et qu'il y est activé, tu dois ajouter des enregistrements DS manuellement avec nous.
Ajout d'enregistrements DS
Les enregistrements de signataires de délégation (DS) sont un composant essentiel de DNSSEC. Ils permettent de déléguer la confiance d'une zone parent à une zone enfant, ce que l'on appelle une "chaîne de confiance". L'enregistrement DS est utilisé pour vérifier l'authenticité des zones enfants. Les enregistrements DS sont automatiquement configurés lorsque le domaine utilise les serveurs de noms de one.com.
Lorsque les serveurs de noms de one.com ne sont pas utilisés, tu ajoutes les enregistrements DS manuellement via le panneau de configuration de one.com. Tu peux obtenir les 4 valeurs nécessaires, KeyTag, Algorithm, Digest type et Digest, auprès de ton fournisseur de serveur de noms ou via un outil générateur. Suis ensuite les étapes suivantes pour créer l'enregistrement DS :
- Connectez-vous au panneau de contrôle one.com.
- Clique sur Paramètres DNS dans la tuile Paramètres avancés.
- Clique sur l'onglet Serveurs de noms.
- Dans l'administration de ton serveur de noms, clique sur l'onglet Enregistrements DS.
- Saisis la valeur dans les 4 champs distincts pour KeyTag, Algorithm, Digest type et Digest.
- Cliquez sur Enregistrer.
- Il va maintenant commencer à charger tes enregistrements DNS existants. Il affichera une barre verte avec un message de réussite si les enregistrements ont été ajoutés avec succès.
Remarque : l 'ajout d'enregistrements DNS incorrects peut entraîner une indisponibilité du site Web. Vous êtes invités à contacter notre support pour obtenir de l'aide si vous êtes préoccupé par quoi que ce soit sur les paramètres DNS.
Articles associés: