Sécuriser votre nom de domaine avec DNSSEC

Objectif

Un serveur DNS héberge une ou plusieurs zone(s) DNS. Une zone DNS contient la configuration DNS d'un nom de domaine. C'est cette configuration qui relie votre nom de domaine aux différents services qui lui sont associés (serveur d'hébergement pour votre site web, serveurs pour vos adresses e-mail personnalisées avec votre nom de domaine, etc.).

Dans certains cas, les flux de données qui transitent par les serveurs DNS peuvent être détournés par des personnes malveillantes. En résumé, pour effectuer cela, ces personnes empoisonnent le cache des serveurs DNS avec la configuration DNS qu'ils souhaitent appliquer à votre nom de domaine : c'est ce que l'on appelle le « Cache poisoning ». Ainsi, ils peuvent rediriger les flux entrants de votre nom de domaine vers leurs propres sites web et vers leurs propres adresses e-mail.

Le Domain Name System SECurity extensions (DNSSEC), permet de protéger la configuration DNS de votre nom de domaine contre le « Cache poisoning » en vérifiant et en authentifiant les réponses DNS.

Découvrez comment activer le DNSSEC pour votre nom de domaine afin de le protéger contre le « Cache poisoning ».

Pour plus d'informations sur le fonctionnement du DNSSEC, consultez notre page « Comprendre le DNSSEC ».

N'hésitez pas également à consulter nos guides sur les serveurs DNS OVHcloud et sur l'édition d'une zone DNS OVHcloud si vous souhaitez plus d'informations sur ces sujets.

Prérequis

• Disposer d’un nom de domaine.
• Le nom de domaine concerné doit posséder une extension compatible avec le DNSSEC.

Accès à l'espace client OVHcloud

• Lien direct : Noms de domaine
• Pour accéder à vos services : Web Cloud > Noms de domaine > Sélectionnez votre nom de domaine

En pratique

Pour vérifier si votre nom de domaine utilise la configuration DNS OVHcloud, cliquez sur les onglets ci-dessous pour afficher successivement chacune des 2 étapes.

L'activation du DNSSEC est possible dans trois cas de figure détaillés ci-dessous.

Cas n°1 - Votre nom de domaine est enregistré chez OVHcloud et utilise les serveurs DNS d'OVHcloud

Pour activer (ou désactiver) la solution DNSSEC pour votre nom de domaine, cliquez sur les onglets ci-dessous pour afficher successivement chacune des 3 étapes.

Cas n°2 - Votre nom de domaine est enregistré chez OVHcloud et n'utilise pas les serveurs DNS d'OVHcloud

Dans cette situation, rapprochez-vous du prestataire gérant la configuration DNS de votre nom de domaine pour lui demander les paramètres d'activation du DNSSEC (« Key Tag » / « Flag » / « Algorithme » / « Clé publique (encodée en base64) »).

Une fois ces 4 paramètres récupérés, cliquez sur les onglets ci-dessous pour afficher successivement chacune des 4 étapes.

Cas n°3 - Votre nom de domaine n'est pas enregistré chez OVHcloud et utilise les serveurs DNS d'OVHcloud

A l'inverse du cas n°2, vous devrez ici récupérer côté OVHcloud les paramètres d'activation du DNSSEC (« Key Tag » / « Flag » / « Algorithme » / « Clé publique (encodée en base64) »).

Pour cela, vous devez utiliser les API OVHcloud et effectuer les actions suivantes :

• Rendez-vous sur notre site API OVHcloud (vérifiez bien que vous êtes sur https://eu.api.ovh.com si vos services sont hébergés en Europe et sur https://ca.api.ovh.com s'ils sont hébergés en dehors de l'Europe).
• Sur la page qui s'affiche, cliquez au centre sur Explore the OVHcloud API.
• Sur la nouvelle page qui apparaît et dans la partie gauche de la page, utilisez le menu déroulant situé à droite du formulaire v1, puis sélectionnez/saisissez le choix /domain.
• Parmi la liste d'API qui apparaît en dessous dans la colonne de gauche, recherchez et cliquez sur l'API suivante : POST /domain/zone/{zoneName}/dnssec. Vous pouvez aussi cliquer directement sur ce lien pour y accéder :

• Sur la partie droite de la page s'affiche alors l'API avec ses différents formulaires à remplir.
• Cliquez sur le bouton situé en haut à droite intitulé Authenticate, puis sur le bouton Login with OVHcloud SSO.
• L'interface de connexion à votre espace client OVHcloud s'ouvre.
• Connectez-vous à votre compte, puis cliquez sur Authorize pour utiliser les API OVHcloud avec les services présents dans votre espace client.
• Vous êtes ensuite automatiquement redirigé vers la page précédente de l'API POST /domain/zone/{zoneName}/dnssec en y étant maintenant authentifié.
• Sur la partie droite de la page s'affiche alors l'API avec un formulaire à remplir.
• Remplissez le formulaire de la partie PATH PARAMETERS comme suit :
  • zoneName : saisissez ici le nom de domaine concerné (exemple : domain.tld).

Une fois le formulaire rempli, cliquez sur le bouton bleu EXECUTE situé en bas à droite de la section préalablement remplie.

Au bout de quelques minutes, vous recevrez un e-mail d'OVHcloud à l'adresse e-mail de contact de votre zone DNS OVHcloud. Cet e-mail contiendra les 4 paramètres (« Key Tag » / « Flag » / « Algorithme » / « Clé publique (encodée en base64) ») nécessaires pour activer le DNSSEC auprès du bureau d'enregistrement de votre nom de domaine.

Pour terminer, contactez le bureau d'enregistrement actuel de votre nom de domaine avec les 4 paramètres pour activer l'option DNSSEC de leur côté.

Aller plus loin

Généralités sur les serveurs DNS OVHcloud

Editer une zone DNS OVHcloud

Premiers pas avec les API OVHcloud

Pour des prestations spécialisées (référencement, développement, etc), contactez les partenaires OVHcloud.

Si vous souhaitez bénéficier d'une assistance à l'usage et à la configuration de vos solutions OVHcloud, nous vous proposons de consulter nos différentes offres de support.

Échangez avec notre communauté d'utilisateurs.