Introduction à DNSSEC
mardi 3 juin 2014 à 18:49 CAFAI, le 03/06/2014 à 07:41
Le système DNS permet de faire l'association entre un nom humainement comprésensible et une adresse IP (et vice-versa). Le fonctionnement du DNS a été défini et implémenté dans les années 80, à une époque où la sécurité sur internet n'était pas encore une préoccupation.
EDIT: Remarques très pertinentes de guiguishow:
Tuto intéressant mais j'apporte les précisions suivantes :
- Avec ce tuto, les clés crypto se trouvent sur le serveur DNS qui fait autorité sur la zone (sur le master quoi). Attention en cas de compromission de ce frontal, tout ça.
- NSEC suffit amplement pour les zones au contenu banal et/ou public (comme . ) : un RRset NS, un RR A, un MX, un RR "www", ... Ce type de contenu se devine facilement sans avoir recours au zone walking permis par NSEC. Du coup l'overhead crypto ne se justifie pas. NSEC3 est utile quand le contenu d'une zone ne doit pas être public (exemple : la zone fr.) et/ou n'est pas trivial.
- Le roulement des clés peut s'automatiser facilement avec OpenDNSSEC. Les timings sont calculés automatiquement en fonction des données des zones (TTL, TTL cache négatif, ...), par exemple. ça diminue drastiquement les prises de tête, les oublis de roulement et les erreurs humaines. Je *recommande vivement* l'usage d'OpenDNSSEC
https://shaarli.guiguishow.info/?atAKCg
(Permalink)
youm, le 03/06/2014 à 18:49
Faut que regarde à ça à l'occase, coude!
via http://shaarli.cafai.fr/?9wJc_A
(Permalink)
Le système DNS permet de faire l'association entre un nom humainement comprésensible et une adresse IP (et vice-versa). Le fonctionnement du DNS a été défini et implémenté dans les années 80, à une époque où la sécurité sur internet n'était pas encore une préoccupation.
EDIT: Remarques très pertinentes de guiguishow:
Tuto intéressant mais j'apporte les précisions suivantes :
- Avec ce tuto, les clés crypto se trouvent sur le serveur DNS qui fait autorité sur la zone (sur le master quoi). Attention en cas de compromission de ce frontal, tout ça.
- NSEC suffit amplement pour les zones au contenu banal et/ou public (comme . ) : un RRset NS, un RR A, un MX, un RR "www", ... Ce type de contenu se devine facilement sans avoir recours au zone walking permis par NSEC. Du coup l'overhead crypto ne se justifie pas. NSEC3 est utile quand le contenu d'une zone ne doit pas être public (exemple : la zone fr.) et/ou n'est pas trivial.
- Le roulement des clés peut s'automatiser facilement avec OpenDNSSEC. Les timings sont calculés automatiquement en fonction des données des zones (TTL, TTL cache négatif, ...), par exemple. ça diminue drastiquement les prises de tête, les oublis de roulement et les erreurs humaines. Je *recommande vivement* l'usage d'OpenDNSSEC
https://shaarli.guiguishow.info/?atAKCg
(Permalink)
youm, le 03/06/2014 à 18:49
Faut que regarde à ça à l'occase, coude!
via http://shaarli.cafai.fr/?9wJc_A
(Permalink)