DNSSEC ajoute une couche d’authentification à votre DNS. Pour configurer DNSSEC, activez-le dans le tableau de bord de Cloudflare et ajoutez un enregistrement DS au registrar de votre domaine.
Présentation
DNSSEC ajoute une couche d’authentification pour compléter une infrastructure DNS fragile. Ce protocole garantit que les visiteurs soient redirigés vers votre serveur Web lorsqu’ils saisissent votre domaine dans un navigateur Web, évitant ainsi les attaques intermédiaires et autres types de falsification DNS.
Lorsque vous activez DNSSEC, Cloudflare :
- signe votre zone ;
- publie vos clés de signature publiques ;
- génère votre enregistrement DS.
Notez que certains registrars et TLD (Top Level Domain) ne prennent pas en charge DNSSEC. Pour connaître vos options, consultez l’article Que faire si mon registrar ou TLD ne prend pas en charge DNSSEC ?
Pour activer DNSSEC sur votre domaine, vous devez activer DNSSEC dans Cloudflare et ajouter un enregistrement spécial dans la configuration DNS de votre registrar.
Vous trouverez ci-dessous les 2 étapes nécessaires pour ajouter un support DNSSEC à votre domaine mis en proxy via Cloudflare.
Étape 1 : activer DNSSEC dans le DNS Cloudflare
En activant DNSSEC dans le tableau de bord Cloudflare, vous demander à Cloudflare de générer les données nécessaires à l’ajout d’un enregistrement DS (Delegation Signer) sur votre domaine au registrar.
Pour obtenir les données de l’enregistrement DS Cloudflare :
1. Connectez-vous au tableau de bord Cloudflare.
2. Assurez-vous de sélectionner le site Web souhaité pour l’enregistrement DS.
3. Cliquez sur l’application DNS.
4. Défilez vers le bas jusqu’au panneau DNSSEC.
5. Cliquez sur Activer DNSSEC. Une boîte de dialogue vous informera que la configuration est en attente jusqu’à ce que l’enregistrement DS soit ajouté à votre registrar.
6. Ensuite, cliquez pour agrandir le menu déroulant de l’enregistrement DS dans le panneau DNSSEC.
7. Copiez les informations de l’enregistrement DS, vous en aurez besoin à l’étape 2 ci-dessous.
Étape 2 : ajouter un enregistrement DS à votre registrar
Après avoir complété l’étape 1 ci-dessus, vous disposez des données DS générées par Cloudflare nécessaires pour l’étape suivante.
Pour terminer votre configuration DNSSEC, il est nécessaire que votre domaine dispose d’un enregistrement DS dans votre configuration DNS au registrar. Recherchez votre registrar dans la liste ci-dessous et suivez les instructions.
Registrar | Instructions |
123 Reg | Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare. |
DNSimple | |
domaindiscount24 | |
dotster | Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare. |
DreamHost | Dans DreamHost, utilisez 2 comme Digest Type à la place de SHA256. |
dynadot | |
enom | |
gandi | Dans gandi, assurez-vous de sélectionner Algorithm 13 dans le menu déroulant Algorithm. |
GoDaddy | |
godzone | Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare. Dans le panneau de contrôle Web godzone, vous pourrez peut-être ajouter un enregistrement DS sous l’onglet Domaines. |
Google Domains | Suivez les instructions pour les serveurs de noms personnalisés |
hover | |
internet.bs | Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare. Vous pourrez peut-être ajouter un enregistrement DS :
|
Joker.com | Dans Joker.com, utilisez 2 comme Digest Type à la place de SHA256. |
MarkMonitor | MarkMonitor prend en charge la vérification Algorithm 13 et implémente automatiquement l’EPP (Extensive Provisioning Protocol) pour transférer les enregistrements DS pour les TLD suivants : .com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re Pour ajouter un enregistrement DS, saisissez les données DS dans le panneau Informations DNSSEC du portail de gestion MarkMonitor. |
Moniker | Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare. Vous pourrez peut-être ajouter un enregistrement DS :
|
name.com | |
namecheap | Gérer le DNSSEC pour les domaines pointés vers un DNS personnalisé |
nameISP | Comment activer DNSSEC pour mon domaine ? Pour activer DNSSEC dans nameISP, vous n’avez pas besoin de copier et coller les données de l’enregistrement DS de votre compte Cloudflare. |
namesilo | |
OVH | OVH prend en charge DNSSEC avec Algorithm 13 via leur API. Voir la documentation. OVH prend aussi en charge l’ajout d’enregistrement DS via son gestionnaire DNS. |
Public Domain Registry | Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare. Ce registrar dispose peut-être de TLD limités. Consultez l’article Ajouter des enregistrements signataires de délégation (DS). |
register.com | Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare. |
registro.br | DNS e DNSSEC Tutoriais (en portugais) |
Tsohost | Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare. |
Que faire si mon registrar ou TLD ne prend pas en charge DNSSEC ?
Pour activer DNSSEC, votre registrar et votre registre (TLD) doivent prendre en charge DNSSEC avec la suite cryptographique préférentielle de Cloudflare, Algorithm 13.
Bien que la prise en charge DNSSEC soit requise par l’ICANN et qu’Algorithm 13 soit normalisé depuis des années, certains registrars et registres ne supportent pas encore ces protocoles.
Vous disposez de trois options pour que votre registrar prenne en charge DNSSEC :
1. Contactez votre registrar et demandez un protocole DNSSEC avec chiffrement moderne. Beaucoup de registrars attendent de recevoir plus de demandes avant d’ajouter cette prise en charge. En les contactant, vous leur faites savoir qu’il existe un besoin pour DNSSEC avec Algorithm 13.
2. Vous pouvez transférer votre domaine vers un registrar différent qui prend en charge DNSSEC avec Algorithm 13, comme cité dans l’étape 2 ci-dessus.
3. Enfin, vous pouvez faire une réclamation auprès de l’ICANN, en décrivant le manque de conformité de votre registrar. L’ICANN demande aux registrars de prendre en charge le DNSSEC avec tous les types d’algorithmes DS disponibles.
Si la prise en charge fait défaut au niveau du TLD, essayez l’option 1 ci-dessus. Vous pouvez trouver les coordonnées de votre registre TLD dans la Iana Root Zone Database.
En savoir plus sur DNSSEC
- DNSSEC Cloudflare
- Résolution des problèmes DNSSEC
- Blog - Annonce d’un DNSSEC universel : DNS sécurisé pour tous les domaines
- Blog - Introduction au DNSSEC
- À propos de la prise en charge d’Algorithm 13 - ECDSA : La pièce manquante du DNSSEC
- Liste des TLD ne prenant pas en charge DNSSEC