Serveur DNSSEC, vous l'activez ou pas ?

Wu Tang · 7 Novembre 2022

Sur Gandi et sur d'autres hébergeurs il y a la possibilité d'activer DNSSEC si l'extension de domaine le permet (mais apparemment la plupart le permettent).
Je me pose la question : pourquoi n'est-ce pas activé nativement ?

Gandi affiche un message d'avertissement lorsque vous êtes sur la page d'activation :

N'activez cette option que si vous avez une bonne compréhension de ce que permet de faire DNSSEC: vous pourriez facilement rendre votre nom de domaine inopérant.

DNSSEC est une extension de sécurité du protocole DNS. Il s’agit d’une signature numérique sur les informations publiées par les DNS, mise en place par une paire de clé de chiffrement, rendant plus difficile la falsification, et donc plus sécurisée.
Nous vous recommandons de ne pas activer cette option si vous n’avez pas une bonne compréhension de ce dont il s’agit et comment cela fonctionne : vous pourriez facilement rendre votre nom de domaine inopérant

Pourtant l'activation semble se faire en 2 ou 3 clics, pourquoi devrions nous faire attention ?
Quel est le risque puisqu'il n'y a pas de manipulation à faire de notre côté, je ne comprends pas cet avertissement.

Nicolas · 8 Novembre 2022

Je l’ai activé chez Gandi, 2 clics et c’est en fonction. Les DNS sont chez Gandi aussi.

Si tu passes par Cloudflare ou un autre CDN la procédure est différente et le risque de faire une erreur est plus grand.

Hika Matik · 8 Novembre 2022

Avec IONOS aucun problème, DNSSEC activé sans perte d'accessibilité du site.

Jack's forum · 12 Novembre 2022

Wu Tang à dit:
Quel est le risque puisqu'il n'y a pas de manipulation à faire de notre côté, je ne comprends pas cet avertissement.

Probablement quand ton site passe par un CDN comme l'indique Nicolas (genre Cloudflare) ou bien si tu viens juste de migrer chez un nouvel hébergeur et que les DNS ne sont pas encore déployés. Sinon tu peux y aller tranquille.

hybrid56 · 6 Décembre 2022

DNSSEC permet de sécuriser la requête DNS en créant une signature numérique chiffrée. Il n'y a pas de grand risque à l'activer, sauf si il y a un bug sur le serveur DNS.

par exemple si ton site: domaine.com pointe vers 200.200.200.200

Si un pirate, hack le serveur DNS et modifie l'ip en 300.300.300.300
sans DNSSEC ton site risque de pointer vers un site de phishing/malveillant.
avec DNSSEC la requête sera bloquée car il y aura une incohérence entre la signature numérique et la nouvelle IP et tu n'auras plus accès au domaine.

Wu Tang · 12 Décembre 2022

Ouais donc mieux vaut l'activer.

Barbamama · 2 Février 2023

Bonjour, je ne trouve pas cette option, est-ce que quelqu'un peut m'aiguiller ?

hybrid56 · 2 Février 2023

Barbamama à dit:
Bonjour, je ne trouve pas cette option, est-ce que quelqu'un peut m'aiguiller ?

Tu es chez qui en hébergement/nom de domaine?

Barbamama · 2 Février 2023

Je pensais que c'était une option de xenforo, désolé je suis vraiment nulle en technique, etc...
Je suis allé sur mon hébergement OVH et j'ai trouvé la solution : https://www.ovhcloud.com/fr-sn/domains/dnssec/

Merci.

Serveur DNSSEC, vous l'activez ou pas ?

Wu Tang

Membre

hybrid56

Nicolas

Administrateur

Hika Matik

Membre

Jack's forum

Membre

hybrid56

Support WordPress

Wu Tang

Membre

Barbamama

Membre

hybrid56

Support WordPress

Barbamama

Membre

Membres en ligne

Messages récents

Nous respectons votre vie privée