Configurer DNSSEC pour un domaine

Regardez le tutoriel vidéo

DNSSEC est l'extension du protocole DNS qui permet de signer des données DNS pour protéger le processus de résolution des noms de domaine. Pour obtenir des informations générales sur DNSSEC et son utilisation, visitez le site Web ICANN et la page https://tools.ietf.org/html/rfc6781.

Remarque : la prise en charge DNSSEC est disponible dans Plesk pour Linux. L'extension Plesk DNSSEC doit être installée dans Plesk par le fournisseur d'hébergement.

Vous pouvez effectuer les opérations suivantes pour protéger les données DNS de vos domaines avec DNSSEC :

  • Ajouter et supprimer la signature de zones de domaine selon les conditions DNSSEC.
  • (Facultatif) Définir des paramètres personnalisés pour la génération de clés.
  • Recevoir des notifications.
  • Voir et copier des enregistrements de ressources DS.
  • Voir et copier des jeux d'enregistrements de ressources DNSKEY.

Signature d'une zone de domaine

Pour commencer à utiliser la protection DNSSEC pour votre zone DNS, signez cette zone. Plesk signe la zone avec des signatures générées automatiquement à l'aide de deux paires de clés asymétriques : KSK (Key Signing Key, pour clé de signature de clé) et ZSK (Zone Signing Key, pour clé de signature de zone).

Pour signer une zone de domaine :

  1. Sélectionnez le domaine dans Sites Web & Domaines.
  2. Allez dans DNSSEC et cliquez sur Signer la zone DNS.
  3. Si la zone n'a jamais été signée, Plesk vous invite à générer les clés qui seront utilisées pour créer une signature.

    Vous pouvez utiliser les valeurs par défaut ou indiquer des valeurs personnalisées. Vous pouvez consulter les valeurs recommandées ci-dessous.

    2016-09-09_181447

  4. Si vous avez déjà signé la zone DNS, vous pouvez choisir les clés déjà générées ou en générer de nouvelles. Si vous optez pour de nouvelles clés, vous pouvez utiliser les valeurs par défaut ou en définir de nouvelles. Vous pouvez consulter les valeurs recommandées ci-dessous.

    Valeurs recommandées pour les paramètres de génération des clés KSK et ZSK :

    • Clé et période de substitution longues pour KSK.

      À chaque mise à jour de la clé KSK, vous devez mettre à jour les enregistrements DS dans la zone parent. Les valeurs recommandées permettent de mettre à jour les enregistrements DS aussi peu souvent que possible sans mettre en péril la sécurité.

    • Clé et période de substitution plus courtes pour ZSK.

      La clé ZSK est mise à jour automatiquement. Les valeurs recommandées permettent d'économiser les ressources système sans mettre en péril la sécurité.

      DNSSEC_ask

  5. À l'issue de la procédure de signature, Plesk affiche les enregistrements DS ; ils intègrent des portions des clés KSK utilisées pour la signature de la zone.

    Copiez les enregistrements des ressources DS dans le presse-papiers et ajoutez-les à la zone de domaine parent. Consultez la section Mise à jour des enregistrements DS dans la zone parent ci-dessous.

    DNSSEC_copy_records

  

Mise à jour des enregistrements DS dans la zone parent

Si la zone parent contient des enregistrements DS obsolètes, le nom de domaine n'est plus résolu par le service DNS.

Vous devez ajouter ou mettre à jour manuellement les enregistrements DS dans la zone de domaine parent dans tous les cas, lorsque les clés DNSSEC sont mises à jour, soit quand :

  • Vous avez signé une zone de domaine avec des clés générées récemment.
  • Il y a eu substitution de clés KSK (Key Signing Key).

Plesk vous notifie et vous laisse le temps de mettre à jour les enregistrements DS. Ce délai correspond à la période de substitution KSK. Sur cette période, les enregistrements DS précédents restent valides.

Si vous avez supprimé la signature de la zone de domaine, vous devez supprimer manuellement les enregistrements DS dans la zone de domaine parent.

Pour mettre à jour les enregistrements DS dans la zone parent :

Pour un domaine dans Plesk avec zone parent hors de Plesk, mettez à jour les enregistrements DS dans le registrar du domaine.

Pour un sous-domaine de domaine hébergé dans Plesk, avec zone DNS dans Plesk :

  1. Allez dans les paramètres DNS du domaine parent (Sites Web & Domaines > domaine parent > Paramètres DNS).
  2. Ajoutez les nouveaux enregistrements de type DS (Ajouter un enregistrement) et collez les valeurs indiquées par Plesk dans la zone relative aux enregistrements de ressources DS des paramètres DNSSEC du sous-domaine.

Suppression de la signature d'une zone de domaine

La suppression de la signature d'une zone de domaine désactive la protection DNSSEC de cette zone. Vous pouvez devoir supprimer la signature d'une zone si les clés ont été compromises, puis signer à nouveau cette zone avec de nouvelles clés.

Pour supprimer la signature d'une zone de domaine :

  1. Allez dans Sites Web & Domaines > sélectionnez un domaine > DNSSEC et cliquez sur Supprimer la signature.
  2. Supprimez les enregistrements de ressources DS de la zone parent, sinon, il n'y aura pas de résolution.

Remarque : lorsque vous supprimez la signature d'une zone, les clés ne sont pas supprimées de Plesk. Vous pouvez signer à nouveau la zone avec les mêmes clés.

Consultation des enregistrements de ressources DNSKEY

Il peut vous être nécessaire de récupérer les enregistrements de ressources DNSKEY, qui contiennent des portions publiques des clés KSK utilisées par un domaine.

Pour voir les enregistrements DNSKEY :

  1. Allez dans Sites Web & Domaines > sélectionnez un domaine > DNSSEC.
  2. Cliquez sur Afficher les enregistrements DNSKEY.