Avec le protocole DNSSEC, votre bureau d’enregistrement de nom de domaine joue un rôle essentiel dans le lien entre votre domaine signé et les serveurs de noms d’un niveau plus élevé pour former une « chaine de confiance ». Cette relation de confiance commence à la « racine » du système DNS, puis passe aux domaines du niveau le plus élevé (TLD), puis aux noms de domaines de second niveau (« exemple.com ») et ainsi de suite.
Pour signer votre domaine avec le protocole DNSSEC et le faire participer à la chaine de confiance globale, trois conditions doivent être remplies :
1. VOTRE DOMAINE DU NIVEAU SUPÉRIEUR (TLD) DOIT ÊTRE SIGNÉ – Les TLD principaux tels que .com, .org, .net ont tous été signés et ont bon nombre de « TLD de code de pays » (ccTLD), mais de nombreux ccTLD doivent encore être signés. Voir la liste complète des TLD signés pour confirmer que votre TLD a bien été signé.
2. VOTRE BUREAU D’ENREGISTREMENT DE DOMAINES DOIT PRENDRE EN CHARGE LE PROTOCOLE DNSSEC – Le bureau d’enregistrement où vous avez enregistré votre domaine doit prendre en charge le protocole DNSSEC. Plus précisément, il doit être en mesure d’accepter et de signer les enregistrements d’un « Signataire délégué » (DS) qui contiennent l’information nécessaire sur les clés utilisées pour signer votre zone DNS. Il doit aussi être en mesure de fournir ces enregistrements DS au domaine parent (en général un TLD).
Voir la liste des bureaux d’enregistrement prenant en charge le protocole DNSSEC maintenue par ICANN. Si votre bureau d’enregistrement figure sur la liste, il vous faut simplement vérifier sa documentation pour en savoir plus sur la compatibilité du protocole DNSSEC (voir nos didacticiels ci-dessous pour certains bureaux d’enregistrement). Si votre bureau d’enregistrement ne figure pas sur la liste, vous pouvez le contacter pour savoir s’il prend en charge le protocole DNSSEC ou si cette prise en charge est à l’ordre du jour.
3. VOTRE FOURNISSEUR D’HÉBERGEMENT DNS DOIT PRENDRE EN CHARGE LE PROTOCOLE DNSSEC – Très souvent un « bureau d’enregistrement » peut aussi fournir des services « d’Hébergement DNS » par lesquels il héberge vos enregistrements DNS, vous permet de gérer ces enregistrements, les publie sur le DNS global etc. Toutefois, vous pouvez vous adresser à un fournisseur différent pour l’hébergement de vos enregistrements DNS. (voir un exemple) Vous pouvez aussi exploiter vos propres serveurs de noms et gérer directement votre hébergement DNS vous-même. Que votre hébergement DNS soit fourni par votre bureau d’enregistrement, par une autre société ou par vous-même, la prise en charge du protocole DNSSEC est requise. De nombreux fournisseurs d’hébergement DNS automatisent les services DNSSEC de sorte que la génération de clés et la signature sont assurées automatiquement de votre part.
Voir la section « Plus de renseignements » plus loin dans cette page pour une description plus détaillée.
Les liens suivants fournissent des didacticiels sur la manière de signer votre nom de domaine avec le protocole DNSSEC en utilisant les bureaux d’enregistrement et les fournisseurs d’hébergement DNS listés.
Le programme Deploy360 de l’Internet Society ne recommande ni n’approuve aucun bureau d’enregistrement de domaines particulier. Les données ici présentes permettent aux utilisateurs de comprendre comment enregistrer leurs domaines avec DNSSEC. NOUS CHERCHONS À AJOUTER DES DIDACTICIELS POUR TOUS LES BUREAUX D’ENREGISTREMENT QUI PRENNENT ACTUELLEMENT EN CHARGE LE PROTOCOLE DNSSEC. Si vous connaissez un autre bureau d’enregistrement que nous devrions inclure, veuillez nous contacter.
Bureaux d’enregistrement prenant en charge DNSSEC pour l’enregistrement et l’hébergement
Ces bureaux d’enregistrement prennent en charge le protocole DNSSEC pour l’enregistrement de domaines et pour l’hébergement DNS.
- Comment enregistrer votre Domaine avec DNSSEC en utilisant Binero(pour .SE and .EU)
- Comment enregistrer votre Domaine avec DNSSEC en utilisant Dyn, Inc.
- Comment enregistrer votre Domaine avec DNSSEC en utilisant GoDaddy.com
Bureaux d’enregistrement prenant en charge le protocole DNSSEC uniquement pour l’enregistrement de domaines
Ces Bureaux d’enregistrement fournissent un processus pour ajouter les enregistrements du DS (Signataire délégué) pour votre domaine mais ne fournissent pas la signature DNSSEC des domaines hébergés (ou n’offrent pas l’hébergement DNS). Nous avons rédigé un exemple pas à pas sur la manière dont le protocole DNSSEC peut fonctionner dans cette situation.
Au-delà de cette liste, l’ICANN (Corporation Internet pour les Noms et Numéros assignés)conserve une liste des bureaux d’enregistrement prenant en charge l’usage des enregistrements DS. Le PIR (Public Interest Registry), qui est le bureau d’enregistrement pour .org, conserve également une liste des bureaux d’enregistrement prenant en charge le protocole DNSSEC (recherchez un « Oui » dans la dernière colonne). Nous examinerons la possibilité d’ajouter des didacticiels sur beaucoup de ces bureaux d’enregistrement à mesure des renseignements que nous obtiendrons sur leurs interfaces web.
Informations supplémentaires
Pour la « signature » de votre domaine, deux éléments sont à prendre en compte :
- Vos enregistrements de domaine doivent être signés au moyen de clés créées pour votre domaine.
- L’information concernant vos clés doit être enregistrée dans un enregistrement de DS stocké dans le domaine parent ou TLD.
Cet « enregistrement DNS » sur le serveur du nom parent est ce qui lie votre domaine signé à la plus grande « chaine de confiance ».
Pour que cela fonctionne, votre bureau d’enregistrement de noms de domaines doit prendre en charge le protocole DNSSEC et être en mesure de fournir l’information pertinente aux serveurs de noms parents pour un domaine qui crée cet enregistrement DS. Notez qu’un bureau d’enregistrement de noms de domaines ne doit pas nécessairement héberger vos enregistrements de domaine et que certains bureaux d’enregistrement font la distinction entre fournir « l’enregistrement » ou « garer » des services et fournir les services d’hébergement DNS.
Si vous enregistrez votre domaine avec un bureau d’enregistrement et hébergez vos enregistrements DNS avec un autre bureau d’enregistrement / fournisseur d’hébergement DNS (ou si vous hébergez vos enregistrements DNS sur vos propres serveurs de noms), la relation est la suivante :
- Votre bureau d’enregistrement de domaines :
- Conserve un enregistrement DNS contenant les détails sur la clé utilisée pour signer votre domaine
- Contient les enregistrements de NS (serveur de noms) qui pointent vers les serveurs de noms qui hébergent votre domaine
- Fournit l’information pertinente au domaine parent ou TLD pour la création d’un enregistrement DS à un niveau plus élevé
- Votre fournisseur d’hébergement DNS (ou vos serveurs de noms si vous hébergez le domaine vous-même) :
- Signe les enregistrements de domaine avec les clés appropriées
- Fournit l’information pertinente à votre bureau d’enregistrement pour la création de l’enregistrement DS requis
Si vous voulez voir cette relation en action, veuillez consulter notreexemple pas à pas d’utilisation du DNSSEC avec un bureau d’enregistrement et un fournisseur d’hébergement DNS différents pour plus de renseignements.