Comprendre et configurer DNSSEC dans le DNS Cloudflare

DNSSEC ajoute une couche d’authentification à votre DNS. Pour configurer DNSSEC, activez-le dans le tableau de bord de Cloudflare et ajoutez un enregistrement DS au registrar de votre domaine.


Présentation

DNSSEC ajoute une couche d’authentification pour compléter une infrastructure DNS fragile. Ce protocole garantit que les visiteurs soient redirigés vers votre serveur Web lorsqu’ils saisissent votre domaine dans un navigateur Web, évitant ainsi les attaques intermédiaires et autres types de falsification DNS.

Pour plus d’informations, consultez la section En savoir plus sur DNSSEC à la fin de cet article.

Lorsque vous activez DNSSEC, Cloudflare :

  • signe votre zone ;
  • publie vos clés de signature publiques ;
  • génère votre enregistrement DS.

Notez que certains registrars et TLD (Top Level Domain) ne prennent pas en charge DNSSEC. Pour connaître vos options, consultez l’article Que faire si mon registrar ou TLD ne prend pas en charge DNSSEC ?

Pour activer DNSSEC sur votre domaine, vous devez activer DNSSEC dans Cloudflare et ajouter un enregistrement spécial dans la configuration DNS de votre registrar.

Cloudflare prend en charge la configuration automatique de DNSSEC (via les types d’enregistrement CDS et CDNSKEY) sans exiger que les clients chargent manuellement un enregistrement DS pour les domaines enregistrés sous ces domaines de premier niveau :
  • .ch
  • .cz

Vous trouverez ci-dessous les 2 étapes nécessaires pour ajouter un support DNSSEC à votre domaine mis en proxy via Cloudflare.


Étape 1 : activer DNSSEC dans le DNS Cloudflare

En activant DNSSEC dans le tableau de bord Cloudflare, vous demander à Cloudflare de générer les données nécessaires à l’ajout d’un enregistrement DS (Delegation Signer) sur votre domaine au registrar.

La suite cryptographique choisie par Cloudflare (Algorithm 13, aussi connue sous le nom de ECDSA Curve P-256 avec SHA-256) n’est pas prise en charge par certains registrars. Notez que certains registrars prennent en charge un ensemble d’algorithmes de vérification différent selon le TLD. Si votre registrar ou TLD ne prend pas en charge Algorithm 13, consultez l’article Que faire si mon registrar ne prend pas en charge DNSSEC ?

Pour obtenir les données de l’enregistrement DS Cloudflare :

1. Connectez-vous au tableau de bord Cloudflare.

2. Assurez-vous de sélectionner le site Web souhaité pour l’enregistrement DS.

3. Cliquez sur l’application DNS.

4. Défilez vers le bas jusqu’au panneau DNSSEC.

5. Cliquez sur Activer DNSSEC. Une boîte de dialogue vous informera que la configuration est en attente jusqu’à ce que l’enregistrement DS soit ajouté à votre registrar.

6. Ensuite, cliquez pour agrandir le menu déroulant de l’enregistrement DS dans le panneau DNSSEC.

7. Copiez les informations de l’enregistrement DS, vous en aurez besoin à l’étape 2 ci-dessous.


Étape 2 : ajouter un enregistrement DS à votre registrar

Après avoir complété l’étape 1 ci-dessus, vous disposez des données DS générées par Cloudflare nécessaires pour l’étape suivante.

Pour terminer votre configuration DNSSEC, il est nécessaire que votre domaine dispose d’un enregistrement DS dans votre configuration DNS au registrar. Recherchez votre registrar dans la liste ci-dessous et suivez les instructions.

Registrar

Instructions

123 Reg

Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare.

DNSimple

Utiliser DNSSEC Cloudflare avec DNSimple

domaindiscount24

DNSSEC

dotster

Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare.

DreamHost

Présentation DNSSEC

Dans DreamHost, utilisez 2 comme Digest Type à la place de SHA256.

dynadot

Comment configurer DNSSEC ?

enom

Ajouter un DNSSEC à un nom de domaine

gandi

DNSSEC

Dans gandi, assurez-vous de sélectionner Algorithm 13 dans le menu déroulant Algorithm.

GoDaddy

Ajouter un enregistrement DS

godzone

Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare.

Dans le panneau de contrôle Web godzone, vous pourrez peut-être ajouter un enregistrement DS sous l’onglet Domaines.

Google Domains

Configurer la sécurité DNSSEC

Suivez les instructions pour les serveurs de noms personnalisés

hover

Comprendre et gérer le protocole DNSSEC

internet.bs

Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare.

Vous pourrez peut-être ajouter un enregistrement DS :

  • Mes domaines > Mettre à jour le répertoire DNS > Gérer DNSSEC > Activer DNSSEC

Joker.com

Support DNSSEC

Dans Joker.com, utilisez 2 comme Digest Type à la place de SHA256.

MarkMonitor

MarkMonitor prend en charge la vérification Algorithm 13 et implémente automatiquement l’EPP (Extensive Provisioning Protocol) pour transférer les enregistrements DS pour les TLD suivants :

.com, .biz, .net, .org, .us, .eu, .fr, .de, .co, .lu, .ch, .be, .li, .co.uk, .wf, .tf, .pm, .yt, .se, .af, .cx, .gs, .hn, .ki, .nf, .sb, .tl, .re

Pour ajouter un enregistrement DS, saisissez les données DS dans le panneau Informations DNSSEC du portail de gestion MarkMonitor.

Moniker

Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare.

Vous pourrez peut-être ajouter un enregistrement DS :

  • Mes domaines > Paramètres avancés > DNSSEC > DSData

name.com

Gérer le DNSSEC

namecheap

Gérer le DNSSEC pour les domaines pointés vers un DNS personnalisé

nameISP

Comment activer DNSSEC pour mon domaine ?

Pour activer DNSSEC dans nameISP, vous n’avez pas besoin de copier et coller les données de l’enregistrement DS de votre compte Cloudflare.

namesilo

Enregistrements DS (DNSSEC)

OVH

OVH prend en charge DNSSEC avec Algorithm 13 via leur API. Voir la documentation.

OVH prend aussi en charge l’ajout d’enregistrement DS via son gestionnaire DNS.

Public Domain Registry

Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare.

Ce registrar dispose peut-être de TLD limités.

Consultez l’article Ajouter des enregistrements signataires de délégation (DS).

register.com

Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare.

registro.br

DNS e DNSSEC Tutoriais (en portugais)

Tsohost

Contactez le service client de votre registrar et transmettez les données de l’enregistrement DS envoyées par Cloudflare.


Que faire si mon registrar ou TLD ne prend pas en charge DNSSEC ?

Pour activer DNSSEC, votre registrar et votre registre (TLD) doivent prendre en charge DNSSEC avec la suite cryptographique préférentielle de Cloudflare, Algorithm 13.

Bien que la prise en charge DNSSEC soit requise par l’ICANN et qu’Algorithm 13 soit normalisé depuis des années, certains registrars et registres ne supportent pas encore ces protocoles.

Vous disposez de trois options pour que votre registrar prenne en charge DNSSEC :

1. Contactez votre registrar et demandez un protocole DNSSEC avec chiffrement moderne. Beaucoup de registrars attendent de recevoir plus de demandes avant d’ajouter cette prise en charge. En les contactant, vous leur faites savoir qu’il existe un besoin pour DNSSEC avec Algorithm 13.

2. Vous pouvez transférer votre domaine vers un registrar différent qui prend en charge DNSSEC avec Algorithm 13, comme cité dans l’étape 2 ci-dessus.

3. Enfin, vous pouvez faire une réclamation auprès de l’ICANN, en décrivant le manque de conformité de votre registrar. L’ICANN demande aux registrars de prendre en charge le DNSSEC avec tous les types d’algorithmes DS disponibles.

L'ICANN n'a aucune autorité sur les TLD de codes de pays (ccTLD).  Contactez directement le ccTLD.  L'IANA tient à jour une liste de tous les ccTLD délégués et de leurs gestionnaires désignés.

Si la prise en charge fait défaut au niveau du TLD, essayez l’option 1 ci-dessus. Vous pouvez trouver les coordonnées de votre registre TLD dans la Iana Root Zone Database.


En savoir plus sur DNSSEC

 

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk