Le blog de Genma
Vous êtes ici : Accueil » Informatique & Internet » DNSSEC et Gandi

DNSSEC et Gandi

D 21 juin 2019     H 09:00     A Genma     C 0 messages   Logo Tipee

Ayant plusieurs fois entendu parler de DNSSEC, ayant un nom de domaine pour ce blog, je me suis posé la question de "Est facile à mettre en oeuvre et si oui comment ?"

DNSSEC ?

DNSSEC (« Domain Name System Security Extensions ») est un protocole standardisé par l’IETF permettant de résoudre certains problèmes de sécurité liés au protocole DNS. Source de la définition

DNSSEC, celui qui en parle reste le mieux encore Stéphane BORTZMEYER, je vous invite donc à voir sa conférence donnée sur le sujet et son support de conférence donnera les réponses aux questions sur le pourquoi de DNSSEC et son utilité, et l’intérêt de sa mise en place.

DNSSEC et Gandi

Je loue des noms de domaines chez GANDI. Les serveurs DNS de Gandi étant ceux qui font la résolution du nom de domaine (ce ne sont pas mes serveurs qui le font, même si je suis en capacité de le mettre en place et de faire la maintenance).

La mise en place de DNS Sec pour un nom de domaine loué chez GANDI et résolu par leurs serveurs se fait de façon assez simple et bien documenté en ligne :
https://docs.gandi.net/fr/noms_domaine/utilisateurs_avances/dnssec.html

En suivant ce tutoriel, j’ai pu mettre en place DNS Sec pour mes noms de domaines.

Firefox et validation de DNSSEC

Pour valider que la configuration DNS est correcte et pour avoir une vision en graphique, j’ai temporairement installé l’extension https://addons.mozilla.org/fr/firefox/addon/DNSSEC/ d’Antoine POPINEU. Cette extension permet de vérifier l’état de DNSsec de chaque site Web que l’on consulte en indiquant si les zones des domaines visités sont signées avec DNSSEC dans la barre d’URL du navigateur.

Pour les utilisateurs les plus enclins à la confidentialité, cette extension utilise les services Web Cloudflare 1.1.1.1 (par défaut) ou Google Public DNS pour effectuer des requêtes DNS. Ainsi, votre historique de navigation sera en quelque sorte transmis à Cloudflare ou à Google tant que cette extension est installée... D’où l’usage temporaire dans un profil dédié avec consultation de site bien précis, puis désinstallation de cette extension par la suite.

Validation en ligne de commande avec la commande dig

Stéphane BORTZMEYER (encore lui !)
a rédigé un tutoriel sur comment déboguer DNS SEC dont je me suis inspiré pour tester que DNS Sec était bien en place pour mon nom de domaine :

dig +dnssec blog.genma.fr

; <<>> DiG 9.11.3-1ubuntu1.5-Ubuntu <<>> +dnssec blog.genma.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4858
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 65494
;; QUESTION SECTION:
;blog.genma.fr.			IN	A

;; ANSWER SECTION:
blog.genma.fr.		4636	IN	CNAME	milhouse2.framasoft.org.
milhouse2.framasoft.org. 3326	IN	A	144.76.131.215

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Wed Apr 10 13:44:34 CEST 2019
;; MSG SIZE  rcvd: 95

Prochaines étapes

Yunohost dispose de son propre serveur DNS. Je pourrais faire en sorte que la résolution de nom de mon serveur personnel soit fait par l’instance en elle-même et son service DNS. Et que cette résolution de nom propose DNSSEC... Ce sera l’objet d’un futur projet et rédaction de billet de blog avec tutoriel associé.