Documentation Oracle Cloud Infrastructure

DNSSEC

Les extensions de sécurité du système de noms de domaine (DNSSEC) fournissent une authentification cryptographique pour les réponses de recherche DNS.

Le DNS n'était pas conçu à l'origine pour crypter ou authentifier le trafic DNS, de sorte que le protocole DNS ne fournit pas de protection contre les réponses malveillantes ou falsifiées. DNSSEC ajoute des extensions de sécurité au DNS pour protéger les clients contre de telles attaques. DNSSEC utilise la vérification cryptographique pour s'assurer que le résolveur peut vérifier chaque réponse DNS à la fois pour l'intégrité (le message n'a pas changé pendant le transit) et l'authenticité (les données proviennent de la source attendue). DNSSEC ne crypte pas la réponse aux requêtes DNS. Pour obtenir des informations générales, reportez-vous à la référence RFC DNSSEC.

Vous pouvez configurer et gérer OCI DNSSEC sur chaque zone publique individuelle. DNSSEC nécessite un résolveur de validation pour valider les signatures, et chaque fournisseur DNS/registrar dans la hiérarchie de zones doit prendre en charge DNSSEC. OCI DNSSEC utilise l'algorithme de signature RSASHA256 avec une longueur de clé de 256 octets et l'algorithme de délégation SHA256.

Les types d'enregistrement spécifiques associés à DNSSEC sont DNSKEY, DS, NSEC3 et RRSIG. Les enregistrements NSEC3 et RRSIG n'apparaissent pas dans la console ou l'API, mais sont inclus dans les réponses de requête. Vous créez et mettez à jour les enregistrements DS dans le cadre du traitement de configuration et de report. Le service DNS crée et gère automatiquement les enregistrements DNSKEY, mais vous pouvez modifier la durée de vie de l'enregistrement.

OCI DNSSEC utilise la signature dynamique (en ligne). Avec la signature dynamique, les enregistrements RRSIG et NSEC3 sont générés par le serveur de noms répondant aux requêtes.

Limites et remarques

Avant de configurer DNSSEC sur des zones DNS, tenez compte des informations importantes suivantes :
  • DNSSEC n'est pas pris en charge sur les zones privées.
  • Pour utiliser DNSSEC avec des zones secondaires, vous devez activer DNSSEC avec le fournisseur DNS principal.
  • Pour migrer une zone signée DNSSEC existante vers OCI, désactivez d'abord DNSSEC sur la zone. Copiez ensuite les enregistrements dans la zone OCI. Enfin, activez DNSSEC sur la zone OCI.
  • La sortie DNSSEC et secondaire sur une zone n'est pas prise en charge. Vous pouvez utiliser l'entrée secondaire à partir d'un fournisseur externe qui utilise DNSSEC vers une zone OCI, mais le fournisseur externe est responsable de la signature de la zone.
  • Vous pouvez utiliser DNSSEC avec des fonctionnalités avancées telles que ALIAS, CNAME et Traffic Management sur une zone.
  • DNS utilise le port TCP 53 comme mécanisme de secours lorsqu'il ne peut pas utiliser UDP pour envoyer des données. Le DNS traditionnel s'appuie sur TCP 53 pour des opérations telles que le transfert de zone. L'utilisation de DNSSEC, ou DNS avec des enregistrements IPv6 tels que AAAA, augmente le risque que les données DNS soient transmises sur TCP.
  • Les modifications d'enregistrement DS requises pour la première configuration ou la reconduction standard peuvent être effectuées par le bureau d'enregistrement de domaine si ce dernier ne propose pas cette fonctionnalité en libre-service.
  • Assurez-vous que le registraire de domaine et tous les fournisseurs DNS pour les zones parent et enfant prennent en charge les enregistrements DNSSEC et DS.

Concepts relatifs à DNSSEC

Etat DNSSEC
Propriété d'une zone indiquant si DNSSEC est activé ou désactivé sur la zone.
Configuration de DNSSEC
Propriété d'une zone contenant des informations sur les versions de clé DNSSEC.
Version de clé DNSSEC
Informations pertinentes pour une clé de signature de zone (ZSK) ou une clé de signature de clé (KSK).
ZSK (clé de signature de zone)
Clé utilisée pour signer tous les éléments non DNSKEY RRsets dans la zone.
KSK (clé de signature de clé)
Clé utilisée pour signer DNSKEY RRset dans la zone. Etablit une chaîne de confiance avec la zone parent.
Chaîne de confiance
Chaîne continue de zones signées commençant à la zone racine. La chaîne de confiance est formée par des enregistrementsDNSKEY sur la zone enfant et des enregistrements DS sur le parent. La chaîne de confiance va d'une zone signée DNSSEC, vers le haut de la hiérarchie de la zone, à la zone racine. La chaîne est vérifiée avec des signatures par cryptographie asymétrique.
Remplacer
Séquence d'étapes soigneusement orchestrée pour remplacer une ancienne version de clé DNSSEC par une nouvelle version de clé DNSSEC sans interruption. Reportez-vous à la section Rollover.
Préparer
Etape du processus de report. Introduisez une nouvelle version de clé DNSSEC afin qu'elle puisse remplacer une version de clé DNSSEC existante.
Promouvoir
Etape du processus de report. Informez OCI que vous avez ajouté les informations requises sur la nouvelle KSK à l'enregistrement DS de la zone parent.
Heure de publication
Propriété d'une version de clé DNSSEC. Indique qu'un enregistrement DNSKEY existe dans une zone commençant à l'heure spécifiée.
Heure d'activation
Propriété d'une version de clé DNSSEC. Indique que la clé signe la zone en commençant à l'heure spécifiée.
Heure de désactivation
Propriété d'une version de clé DNSSEC. Indique que la clé ne signe plus la zone commençant à l'heure spécifiée.
Heure d'annulation de la publication
Propriété d'une version de clé DNSSEC. Indique qu'un enregistrement DNSKEY n'existe plus sur une zone commençant à l'heure spécifiée.
Heure d'expiration
Propriété d'une version de clé DNSSEC. Heure à laquelle la suppression d'une version de clé DNSSEC est programmée.

Introduction

Pour que DNSSEC fonctionne, une chaîne de confiance valide est requise de la racine vers la zone. Avant de commencer, assurez-vous que le bureau d'enregistrement de domaine et tous les fournisseurs DNS pour les zones parent et enfant prennent en charge les enregistrements DNSSEC et DS.

Nous vous recommandons de surveiller la résolution des domaines avec et sans DNSSEC, avant et pendant tout le processus. Les outils utiles que vous pouvez utiliser pour vérifier leur configuration DNSSEC sont les outils Dig et Delv de BIND, DNSViz ou DNS Analyzer.

Assurez-vous de vous familiariser avec l'ensemble du processus de configuration DNSSEC avant de commencer.

Configuration de DNSSEC

  1. Créez une zone et activez DNSSEC lors de la création. Vous pouvez également mettre à jour une zone existante pour activer DNSSEC. Attendez la fin de la demande de travail avant de continuer.
  2. Créez un enregistrement DS sur la zone parent au point de délégation contenant les informations de synthèse KSK. La zone parent peut être une zone dans OCI ou un autre fournisseur DNS.
  3. Une fois l'enregistrement DS créé, promouvez le KSK. Cette étape informe OCI que vous avez terminé l'étape 2 et que l'automatisation peut continuer.
  4. Créez une alarme pour vous avertir lorsqu'une nouvelle version de KSK est générée afin que vous puissiez effectuer les actions de report requises.

Remplacer

La reconduction est le processus d'introduction d'une nouvelle version de clé DNSSEC et de suppression de l'ancienne version de clé DNSSEC sans interruption. Le processus de remplacement pour les ZSK et les KSK s'aligne sur les meilleures pratiques de sécurité en matière de cryptographie par clé publique. Les clés de remplacement sont générées une semaine avant l'expiration.

Vous pouvez utiliser l'opération stage DNSSEC key à tout moment pour créer une version de clé de remplacement en avance sur la programmation. Vous pouvez avoir jusqu'à 10 versions de clé sur une zone à la fois. Nous vous recommandons d'avoir un seul remplacement de clé à un moment de l'un ou l'autre type de clé.
Remarque

Les modèles de reconduction par défaut sont susceptibles d'être modifiés par OCI. Pour demander un remplacement de clé unique en dehors du modèle par défaut, reportez-vous à Demandes d'assistance.

Reconduction ZSK

Les ZSK sont automatiquement reportés tous les 30 jours par défaut. Tout d'abord, une version de clé ZSK de remplacement est créée. Ensuite, l'ancienne version de la clé ZSK est supprimée. Si vous décidez de préparer un ZSK de remplacement en avance sur la planification, attendez que le remplacement du ZSK se termine correctement avant de préparer un autre ZSK pour commencer un deuxième remplacement. Cela permet d'éviter toute interruption de service en raison de différences de timing sur les caches ZSK ou d'enregistrer la durée de vie.

Reconduction KSK

Le remplacement de KSK commence chaque année lorsqu'une version de clé DNSSEC de remplacement est créée. L'alarme que vous créez lors de l'étape de configuration 4 et une notification dans la console vous indiquent qu'une nouvelle KSK nécessite une promotion. Pour éviter toute interruption de service, après la création du nouvel enregistrement DNSKEY, vous devez attendre l'expiration de la durée de vie de l'enregistrement DNSKEY avant de supprimer l'ancien enregistrement DS. Vous pouvez procéder de l'une des deux façons suivantes :
  • Une fois le nouvel enregistrement DNSKEY créé, attendez l'expiration de la durée de vie de l'enregistrement DNSKEY. Ensuite, ajoutez le nouvel enregistrement DS et supprimez l'ancien enregistrement DS en même temps.
  • Une fois le nouvel enregistrement DNSKEY créé, ajoutez immédiatement le nouvel enregistrement DS. Attendez la durée de vie du fichier DNSKEY RRSet sur la zone en cours de reconduction ou la durée de vie du fichier DS RRSet sur le parent, la valeur la plus élevée étant retenue, puis supprimez l'ancien enregistrement DS.

L'absence d'un enregistrement DS du côté parent d'une coupure ne perturbe généralement pas le trafic, mais elle ne parvient pas à établir une chaîne de confiance nécessitant la signature de la zone enfant. Par conséquent, si vous supprimez l'ancien enregistrement DS trop tôt ou avant d'ajouter le nouvel enregistrement DS, la zone cesse d'utiliser DNSSEC pendant cette période.

Reportez-vous à Annulation d'une clé de signature de clé (KSK).

Calendrier

La durée de vie maximale autorisée sur les zones signées DNSSEC est de un jour. Cette limite garantit l'absence d'interruption de service lors d'une reconduction, car le processus de reconduction nécessite parfois d'attendre l'expiration de la durée de vie avant de continuer.

Nous vous recommandons d'utiliser une durée de vie de une heure pour les enregistrements DNSKEY sur les zones. La reconduction pour un KSK implique d'attendre la durée de vie du DNSKEY à certaines étapes du processus. Si une durée de vie est trop importante, il n'est pas possible de terminer le report au cours de la période de report, ce qui entraîne une interruption.

Nous vous recommandons d'utiliser une durée de vie d'une heure lors de la création d'enregistrements DS sur des zones parent. Si un registraire ou un fournisseur DNS ne prend pas en charge une durée de vie d'une heure, suivez leurs recommandations. Pour plus d'informations sur la façon de décider de la durée de vie d'un enregistrement DS, voir Période de validité de la signature DS dans la référence RFC DNSSEC.

Les modifications apportées aux enregistrements prennent un certain temps à être provisionnées avant d'être disponibles dans les réponses aux requêtes. Prenez en compte le temps de provisionnement des enregistrements lors de l'estimation du temps d'attente pour les modifications d'enregistrement. Si la zone parent est gérée par un bureau d'enregistrement, les modifications apportées au bureau d'enregistrement peuvent prendre plus de temps (48 heures sont possibles) pour se propager globalement.