Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration du protocole DNSSEC pour un domaine
Les pirates informatiques détournent parfois le trafic vers des points de terminaison Internet, par exemple des serveurs web. Ils interceptent des requêtes DNS et renvoient leurs propres adresses IP aux résolveurs DNS à la place des adresses IP réelles de ces points de terminaison. Les utilisateurs sont ensuite dirigés vers les adresses IP fournies par les pirates dans la réponse usurpée, par exemple, vers de faux sites web.
Vous pouvez protéger votre domaine contre ce type d'attaque, connu sous le nom d'usurpation du DNS ou d' man-in-the-middle attaque, en configurant les extensions de sécurité du système de noms de domaine (DNSSEC), un protocole destiné à sécuriser le trafic DNS.
Important
Amazon Route 53 prend en charge la signature DNSSEC et DNSSEC pour l'enregistrement de domaine. Si vous souhaitez configurer la signature DNSSEC pour un domaine enregistré avec Route 53, consultez Configuration de la signature DNSSEC dans Amazon Route 53.
Rubriques
Vue d'ensemble de la protection de votre domaine grâce au protocole DNSSEC
Lorsque vous configurez le protocole DNSSEC pour votre domaine, un résolveur DNS établit une chaîne de confiance pour les réponses des résolveurs intermédiaires. La chaîne de confiance commence par le registre TLD pour le domaine (la zone parent de votre domaine) et se termine par les serveurs de noms faisant autorité de votre fournisseur de services DNS. Tous les résolveurs DNS ne prennent pas en charge le protocole DNSSEC. Seuls les résolveurs qui prennent en charge DNSSEC peuvent signer ou effectuer la validation de l'authenticité.
Voici la procédure simplifiée pour configurer le protocole DNSSEC pour les domaines enregistrés avec Amazon Route 53 afin de protéger vos hôtes Internet de l'usurpation DNS :
Utilisez la méthode fournie par votre fournisseur de services DNS pour signer les enregistrements de votre zone hébergée avec la clé privée d'une paire de clés asymétrique.
Important
Route 53 prend en charge la signature DNSSEC et DNSSEC pour l'enregistrement de domaine. Pour en savoir plus, veuillez consulter la section Configuration de la signature DNSSEC dans Amazon Route 53.
Fournissez la clé publique de la paire de clés de votre bureau d'enregistrement de domaine et spécifiez l'algorithme utilisé pour générer la paire de clés. Le registre de domaine transmet la clé publique et l'algorithme au registre pour le domaine de premier niveau (TLD).
Pour plus d'informations sur la façon d'effectuer cette étape pour des domaines que vous avez enregistrés avec Route 53, consultez Ajout de clés publiques pour un domaine.
Une fois que vous avez configuré le protocole DNSSEC, voici comment le protocole protège votre domaine de l'usurpation DNS :
Envoyez une requête DNS, par exemple en accédant à un site web ou en envoyant un message électronique.
La demande est acheminée vers un résolveur DNS. Les résolveurs sont chargés de renvoyer la valeur appropriée vers les clients en fonction de la demande, par exemple, l'adresse IP de l'hôte qui exécute un serveur web ou un serveur de messagerie.
-
Si l'adresse IP est mise en cache sur le résolveur DNS car la même requête DNS a déjà été envoyée et que le résolveur a déjà obtenu la valeur, le résolveur renvoie l'adresse IP au client qui a envoyé la demande. Le client utilise ensuite l'adresse IP pour accéder à l'hôte.
Si l'adresse IP n'est pas mise en cache sur le résolveur DNS, le résolveur envoie une demande à la zone parent de votre domaine, au registre TLD, qui renvoie deux valeurs :
L'enregistrement Delegation Signer (DS), clé publique qui correspond à la clé privée qui a été utilisée pour signer l'enregistrement.
Les adresses IP des serveurs de noms faisant autorité pour votre domaine.
Le résolveur DNS envoie la demande d'origine à un autre résolveur DNS. Si ce résolveur n'a pas d'adresse IP, il répète le processus jusqu'à ce qu'un résolveur envoie la demande vers un serveur de noms de votre fournisseur de services DNS. Le serveur de noms renvoie deux valeurs :
L'enregistrement pour le domaine, par exemple example.com. Généralement, ce jeu contient l'adresse IP d'un hôte.
La signature pour l'enregistrement, que vous avez créée lorsque vous avez configuré le protocole DNSSEC.
Le résolveur DNS utilise la clé publique, que vous avez fournie au bureau d'enregistrement de domaine et que celui-ci a transmis au registre TLD, pour effectuer deux actions :
Etablir une chaîne de confiance
Vérifier que la réponse signée à partir du fournisseur de services DNS est légitime et qu'elle n'a pas été remplacée par une mauvaise réponse par un pirate informatique
Si la réponse est authentique, le résolveur renvoie la valeur au client qui a envoyé la demande.
Si la réponse ne peut pas être vérifiée, le résolveur renvoie une erreur à l'utilisateur.
Si le registre TLD pour le domaine n'a pas la clé publique du domaine, le résolveur répond à la requête DNS à l'aide de la réponse renvoyée par le fournisseur de services DNS.
Prérequis et limites maximales de la configuration du protocole DNSSEC pour un domaine
Pour configurer le protocole DNSSEC pour un domaine, votre fournisseur de domaine et votre fournisseur de services DNS doivent répondre aux exigences suivantes :
Le registre pour le TLD doit prendre en charge le protocole DNSSEC. Pour déterminer si le registre pour votre domaine de premier niveau prend en charge le protocole DNSSEC, consultez Domaines que vous pouvez enregistrer avec Amazon Route 53.
Le fournisseur de services DNS du domaine doit prendre en charge le protocole DNSSEC.
Important
Route 53 prend en charge la signature DNSSEC et DNSSEC pour l'enregistrement de domaine. Pour en savoir plus, veuillez consulter la section Configuration de la signature DNSSEC dans Amazon Route 53.
Vous devez configurer le protocole DNSSEC avec le fournisseur de services DNS pour votre domaine avant d'ajouter des clés publiques pour le domaine à Route 53.
Le nombre de clés publiques que vous pouvez ajouter à un domaine varie selon le domaine de premier niveau pour le domaine :
Domaines .com et .net – Jusqu'à treize clés
Tous les autres domaines – Jusqu'à quatre clés
Ajout de clés publiques pour un domaine
Lorsque vous effectuez une rotation des clés ou que vous activez le protocole DNSSEC pour un domaine, exécutez la procédure suivante après avoir configuré le protocole DNSSEC avec le fournisseur de services DNS du domaine.
Pour ajouter des clés publiques à un domaine
Si vous n'avez pas déjà configuré le protocole DNSSEC avec votre fournisseur de services DNS, utilisez la méthode fournie par ce dernier pour le configurer.
Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/
. Dans le panneau de navigation, choisissez Registered domains (Domaines membres).
Choisissez le nom du domaine pour lequel vous souhaitez ajouter des clés.
Choisissez l'onglet Clés DNSSEC, puis Ajouter une clé.
Indiquez l'une des valeurs suivantes :
- Type de clé
Indiquez si vous souhaitez charger une clé KSK ou une clé ZSK.
- Algorithm
Sélectionnez l'algorithme que vous avez utilisé pour valider les enregistrements pour la zone hébergée.
- Clé publique
Spécifiez la clé publique de la paire de clés asymétrique que vous avez utilisée pour configurer le protocole DNSSEC avec votre fournisseur de services DNS.
Notez ce qui suit :
Spécifiez la clé publique, pas le hachage.
Vous devez spécifier la clé au format base64.
Choisissez Ajouter.
Note
Vous pouvez seulement ajouter une clé publique à la fois. Si vous avez besoin d'ajouter plusieurs clés, patientez jusqu'à réception d'un e-mail de confirmation de la part de Route 53.
Lorsque Route 53 reçoit une réponse du registre, nous envoyons un e-mail au contact inscrit. L'e-mail confirme que la clé publique a été ajoutée au domaine au niveau du registre ou explique pourquoi la clé n'a pas pu être ajoutée.
Suppression de clés publiques pour un domaine
Lorsque vous effectuez une rotation des clés ou que vous désactivez le protocole DNSSEC pour le domaine, supprimez les clés publiques à l'aide de la procédure suivante avant de désactiver le protocole DNSSEC avec votre fournisseur de services DNS. Notez ce qui suit :
Si vous effectuez une rotation des clés publiques, nous vous recommandons d'attendre jusqu'à trois jours après l'ajout de nouvelles clés publiques avant de supprimer les anciennes clés publiques.
Si vous désactivez le protocole DNSSEC, commencez par supprimer les clés publiques pour le domaine. Nous vous recommandons d'attendre jusqu'à trois jours avant de désactiver le protocole DNSSEC avec le service DNS pour le domaine.
Important
Si le protocole DNSSEC est activé pour le domaine et si vous le désactivez avec le service DNS, les résolveurs DNS qui le prennent en charge renverront une erreur SERVFAIL aux clients. Ces derniers ne seront pas en mesure d'accéder aux points de terminaison qui sont associés au domaine.
Pour supprimer des clés publiques d'un domaine
Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/
. Dans le panneau de navigation, choisissez Registered domains (Domaines membres).
Choisissez le nom du domaine pour lequel vous souhaitez supprimer des clés.
Dans l'onglet Clés DNSSEC, choisissez la case d'option en regard de la clé à supprimer, puis choisissez Supprimer la clé.
Dans la boîte de dialogue Supprimer la clé DNSSEC, entrez supprimer dans la zone de texte pour confirmer que vous souhaitez supprimer la clé, puis choisissez Supprimer.
Note
Vous pouvez seulement supprimer une clé publique à la fois. Si vous avez besoin de supprimer plusieurs clés, patientez jusqu'à réception d'un e-mail de confirmation de la part d'Amazon Route 53.
Lorsque Route 53 reçoit une réponse du registre, nous envoyons un e-mail au contact inscrit. L'e-mail confirme que la clé publique a été supprimée du domaine au niveau du registre ou explique pourquoi la clé n'a pas pu être supprimée.
