Documentation sur Oracle Cloud Infrastructure

DNSSEC

Les extensions de sécurité du système de noms de domaine (DNSSEC) fournissent une authentification cryptographique pour les réponses de consultation DNS.

Le DNS n'était pas conçu à l'origine pour chiffrer ou authentifier le trafic DNS, de sorte que le protocole DNS ne fournit pas de protection contre les réponses malveillantes ou falsifiées. DNSSEC ajoute des extensions de sécurité au DNS pour protéger les clients contre de telles attaques. DNSSEC utilise la vérification cryptographique pour s'assurer que le résolveur peut vérifier chaque réponse DNS à la fois pour l'intégrité (le message n'a pas changé pendant le transit) et l'authenticité (les données proviennent de la source attendue). DNSSEC ne chiffre pas la réponse aux requêtes DNS. Pour des informations générales, voir Informations de référence sur DNSSEC RFC.

Vous pouvez configurer et gérer OCI DNSSEC sur chaque zone publique individuelle. DNSSEC requiert un résolveur de validation pour valider les signatures, et chaque fournisseur/registraire DNS de la hiérarchie de zones doit prendre en charge DNSSEC. OCI DNSSEC utilise l'algorithme de signature RSASHA256 avec une longueur de clé de 256 octets et l'algorithme de délégation SHA256.

Les types d'enregistrement spécifiques associés à DNSSEC sont DNSKEY, DS, NSEC3 et RRSIG. Les enregistrements NSEC3 et RRSIG n'apparaissent pas dans la console ou l'API, mais sont inclus dans les réponses d'interrogation. Vous créez et mettez à jour des enregistrements DS dans le cadre du processus de configuration et de report. Le service DNS crée et gère automatiquement les enregistrements DNSKEY, mais vous pouvez modifier la durée de vie de l'enregistrement.

OCI DNSSEC utilise une signature dynamique (en ligne). Avec la signature dynamique, les enregistrements RRSIG et NSEC3 sont générés par le serveur de noms répondant aux interrogations.

Limites et points à considérer

Avant de configurer DNSSEC sur des zones DNS, tenez compte des informations importantes suivantes :
  • DNSSEC n'est pas pris en charge sur les zones privées.
  • Pour utiliser DNSSEC avec les zones secondaires, vous devez activer DNSSEC avec le fournisseur DNS principal.
  • Pour migrer une zone signée DNSSEC existante vers OCI, désactivez d'abord DNSSEC sur la zone. Copiez ensuite les enregistrements dans la zone OCI. Enfin, activez DNSSEC dans la zone OCI.
  • La sortie DNSSEC et secondaire sur une zone n'est pas prise en charge. Vous pouvez utiliser le trafic entrant secondaire d'un fournisseur externe qui utilise DNSSEC vers une zone OCI, mais le fournisseur externe est responsable de la signature de la zone.
  • Vous pouvez utiliser DNSSEC avec des fonctions avancées telles que ALIAS, CNAME et Traffic Management sur une zone.
  • DNS utilise le port TCP 53 comme mécanisme de secours lorsqu'il ne peut pas utiliser UDP pour envoyer des données. Le DNS traditionnel s'appuie sur TCP 53 pour des opérations telles que le transfert de zone. L'utilisation de DNSSEC, ou DNS avec des enregistrements IPv6 tels que AAAA, augmente les chances que les données DNS soient transmises sur TCP.
  • Les modifications d'enregistrement DS requises pour la première configuration ou le report régulier peuvent être effectuées par le registraire de domaine si le registraire n'offre pas cette fonctionnalité en libre-service.
  • Assurez-vous que le registraire de domaine et tous les fournisseurs DNS pour les zones parent et enfant prennent en charge les enregistrements DNSSEC et DS.

Concepts DNSSEC

État DNSSEC
Propriété d'une zone indiquant si DNSSEC est activé ou désactivé sur la zone.
Configuration DNSSEC
Propriété d'une zone qui contient des informations sur les versions de clé DNSSEC.
Version de clé DNSSEC
Informations pertinentes pour une clé de signature de zone (ZSK) ou une clé de signature de clé (KSK).
ZSK (clé de signature de zone)
Clé utilisée pour signer tous les éléments autres que DNSKEY RRsets dans la zone.
KSK (clé de signature de clé)
Clé utilisée pour signer la DNSKEY RRset dans la zone. Établit une chaîne de confiance avec la zone parent.
Chaîne de confiance
Une chaîne continue de zones signées à partir de la zone racine. La chaîne de confiance est formée par des enregistrementsDNSKEY dans la zone enfant et des enregistrements DS dans le parent. La chaîne de confiance passe d'une zone signée DNSSEC, en haut de la hiérarchie de zones, à la zone racine. La chaîne est vérifiée avec des signatures par cryptographie asymétrique.
Report
Une séquence d'étapes soigneusement orchestrée pour remplacer une ancienne version de clé DNSSEC par une nouvelle version de clé DNSSEC sans interruption. Voir Rollover.
Intermédiaire
Étape du processus de report. Introduire une nouvelle version de clé DNSSEC afin qu'elle puisse remplacer une version de clé DNSSEC existante.
Promouvoir
Étape du processus de report. Informez OCI que vous avez ajouté les informations requises sur le nouveau KSK à l'enregistrement DS de zone parent.
Heure de publication
Propriété d'une version de clé DNSSEC. Indique qu'un enregistrement DNSKEY existe dans une zone commençant à l'heure spécifiée.
Heure d'activation
Propriété d'une version de clé DNSSEC. Indique que la clé signe la zone à partir de l'heure spécifiée.
Heure de désactivation
Propriété d'une version de clé DNSSEC. Indique que la clé ne signe plus la zone à partir de l'heure spécifiée.
Heure non publiée
Propriété d'une version de clé DNSSEC. Indique qu'un enregistrement DNSKEY n'existe plus dans une zone commençant à l'heure spécifiée.
Heure d'expiration
Propriété d'une version de clé DNSSEC. Heure à laquelle la suppression d'une version de clé DNSSEC est programmée.

Introduction

Pour que DNSSEC fonctionne, une chaîne de confiance valide est requise de la racine jusqu'à la zone. Avant de commencer, assurez-vous que le registraire de domaine et tous les fournisseurs DNS pour les zones parent et enfant prennent en charge les enregistrements DNSSEC et DS.

Nous vous recommandons de surveiller la résolution des domaines avec et sans DNSSEC, avant et tout au long du processus. Les outils utiles que vous pouvez utiliser pour vérifier leur configuration DNSSEC sont les outils Dig and Delv de BIND, DNSViz ou l'analyseur DNS.

Assurez-vous de vous familiariser avec l'ensemble du processus de configuration DNSSEC avant de commencer.

Configuration de DNSSEC

  1. Créez une zone et activez DNSSEC lors de la création. Ou mettez à jour une zone existante pour activer DNSSEC. Attendez la fin de la demande de travail avant de continuer.
  2. Créez un enregistrement DS dans la zone parent au point de délégation qui contient les informations de condensé KSK. La zone parent peut être une zone dans OCI ou un autre fournisseur DNS.
  3. Une fois l'enregistrement DS créé, faites la promotion du KSK. Cette étape informe OCI que vous avez terminé l'étape 2 et que l'automatisation peut continuer.
  4. Créez une alarme pour vous alerter lorsqu'une nouvelle version de KSK est générée afin que vous puissiez effectuer les actions de report requises.

Report

Le report est le processus d'introduction d'une nouvelle version de clé DNSSEC et de suppression de l'ancienne version de clé DNSSEC sans interruption. Le processus de reconduction des ZSK et des KSK s'aligne sur les meilleures pratiques de sécurité en matière de cryptographie à clé publique. Les clés de remplacement sont générées une semaine avant l'expiration.

Vous pouvez utiliser l'opération stage DNSSEC key à tout moment pour créer une version de clé de remplacement avant la programmation. Vous pouvez avoir jusqu'à 10 versions de clé sur une zone à la fois. Nous recommandons qu'un seul report de clé se produise à un moment de l'un ou l'autre type de clé.
Note

Les modèles de report par défaut sont susceptibles d'être modifiés par OCI. Pour demander un report de clé ponctuel en dehors du modèle par défaut, Demandes de soutien.

Report ZSK

Les ZSK sont automatiquement reportés tous les 30 jours par défaut. Tout d'abord, une version de clé ZSK de remplacement est créée. Ensuite, l'ancienne version de clé ZSK est supprimée. Si vous décidez de mettre en place un ZSK de remplacement à l'avance, attendez que le report ZSK soit terminé avec succès avant de mettre en place un autre ZSK pour commencer un deuxième report. Cela évite toute interruption de service en raison de différences de synchronisation sur les caches ZSK ou TTL d'enregistrement (time to live).

Report KSK

Le report de KSK commence chaque année lorsqu'une version de clé DNSSEC de remplacement est créée. L'alarme que vous créez lors de l'étape de configuration 4 et une notification dans la console vous indiquent qu'un nouveau KSK nécessite une promotion. Pour éviter les interruptions de service, une fois le nouvel enregistrement DNSKEY créé, vous devez attendre l'expiration de la durée de vie de l'enregistrement DNSKEY avant de supprimer l'ancien enregistrement DS. Vous pouvez procéder de l'une des deux façons suivantes :
  • Une fois le nouvel enregistrement DNSKEY créé, attendez que la durée de vie de l'enregistrement DNSKEY expire. Ensuite, ajoutez le nouvel enregistrement DS et supprimez l'ancien enregistrement DS en même temps.
  • Une fois le nouvel enregistrement DNSKEY créé, ajoutez-le immédiatement. Attendez la durée de vie de la DNSKEY RRSet sur la zone en cours de report ou la durée de vie de la DS RRSet sur le parent, la plus grande étant retenue, puis supprimez l'ancien enregistrement DS.

L'absence d'un enregistrement DS du côté parent d'une coupure ne perturbe généralement pas le trafic, mais elle ne parvient pas à établir une chaîne de confiance exigeant la signature de la zone enfant. Donc, si vous supprimez l'ancien enregistrement DS trop tôt, ou avant d'ajouter le nouvel enregistrement DS, la zone cesse d'utiliser DNSSEC pendant cette période.

Voir Repositionnement d'une clé de signature de clé (KSK).

Chronologie

La durée de vie maximale autorisée pour les zones signées DNSSEC est d'un jour. Cette limite garantit l'absence d'interruption du service lors d'un report, car le processus de report nécessite parfois d'attendre que les durées de vie expirent avant de continuer.

Nous vous recommandons d'utiliser une durée de vie d'une heure pour les enregistrements DNSKEY des zones. Le report d'un KSK implique d'attendre la durée de vie de la DNSKEY à certaines étapes du processus. Si une durée de vie est trop longue, il n'est pas possible de terminer le report dans la période de report, ce qui entraîne une interruption.

Nous vous recommandons d'utiliser une durée de vie d'une heure lors de la création d'enregistrements DS sur les zones parents. Si un registraire ou un fournisseur de DNS ne prend pas en charge une durée de vie d'une heure, suivez ses recommandations. Pour plus d'informations sur la façon de décider de la durée de vie d'un enregistrement DS, voir Période de validité de la signature DS dans la référence DNSSEC RFC.

Le provisionnement des modifications d'enregistrement prend un certain temps avant qu'elles ne soient disponibles dans les réponses d'interrogation. Prenez en compte le temps de provisionnement d'enregistrement lors de l'estimation du temps d'attente pour les modifications d'enregistrement. Si la zone parent est gérée par un registrar, les modifications apportées au registrar peuvent prendre plus de temps (48 heures sont possibles) pour se propager globalement.