Defaults.Exposed › Configuration › DNSSEC

Comment configurer le DNSSEC sur Cloudflare

Activez le DNSSEC dans Cloudflare et ajoutez l'enregistrement DS chez votre bureau d'enregistrement pour que personne ne puisse falsifier vos réponses DNS.

Pourquoi cela compte pour votre activité

Lorsqu’une personne saisit votre domaine ou vous envoie un e-mail, son ordinateur interroge le système DNS pour obtenir la bonne adresse. Normalement, ces réponses circulent sans signature : un attaquant capable de les altérer peut donc discrètement diriger vos visiteurs vers un faux site ou rerouter vos e-mails vers son propre serveur. Vos clients voient pourtant votre véritable domaine dans la barre d’adresse tout du long.

Le DNSSEC (Domain Name System Security Extensions, « extensions de sécurité du DNS ») comble cette faille. Il signe cryptographiquement vos réponses DNS, de sorte que la personne qui vous recherche peut prouver que la réponse provient bien de vous et n’a pas été modifiée en chemin. En clair : il empêche les criminels de détourner votre domaine ou d’empoisonner les résolutions qui orientent les gens vers vous. C’est gratuit, et c’est l’une des protections les plus solides que vous puissiez activer pour la fondation sur laquelle tout le reste repose.

Comment fonctionne réellement le DNSSEC (pour que les étapes aient du sens)

Le DNSSEC a deux moitiés qui vivent à deux endroits :

• Votre hébergeur DNS (Cloudflare) signe vos enregistrements et publie les clés publiques (un DNSKEY) ainsi qu’une petite empreinte de celles-ci appelée enregistrement DS (Delegation Signer).
• Votre bureau d’enregistrement (là où vous avez acheté et renouvelez le domaine) publie cet enregistrement DS dans la zone parente (par exemple .com).

L’enregistrement DS chez le bureau d’enregistrement est le maillon de la chaîne de confiance. Cloudflare peut signer toute la journée, mais tant que l’enregistrement DS correspondant n’est pas déposé chez votre bureau d’enregistrement, l’Internet au sens large n’a aucun moyen signé de faire confiance à ces signatures. La tâche comporte donc deux étapes : l’activer dans Cloudflare, puis remettre l’enregistrement DS à votre bureau d’enregistrement.

Le vrai risque — faites-le avec soin

Le DNSSEC peut mettre tout votre domaine hors ligne s’il est mal fait. Les deux façons dont cela arrive :

• Publier chez le bureau d’enregistrement un enregistrement DS qui ne correspond pas à ce avec quoi votre hébergeur DNS signe réellement.
• Déplacer votre DNS vers un autre hébergeur (ou désactiver Cloudflare) sans retirer au préalable l’enregistrement DS chez le bureau d’enregistrement — l’ancien enregistrement DS continue d’exiger des signatures qui n’existent plus, et les résolutions commencent à échouer.

Ni l’un ni l’autre n’est dangereux si vous suivez la procédure ci-dessous dans l’ordre et ne supprimez jamais l’enregistrement DS chez le bureau d’enregistrement tant que Cloudflare reste votre hébergeur de signature. Si vous prévoyez un jour de quitter Cloudflare, désactivez le DNSSEC et supprimez l’enregistrement DS chez le bureau d’enregistrement d’abord, puis déplacez.

Vérifiez que Cloudflare gère bien votre DNS

Cela ne fonctionne que si Cloudflare répond au DNS de votre domaine. Cloudflare est votre hébergeur DNS, pas nécessairement la société auprès de laquelle vous avez acheté le domaine. Le DNS de Cloudflare n’est actif que lorsque les serveurs de noms (nameservers) de votre domaine pointent vers les serveurs de noms Cloudflare indiqués dans votre tableau de bord. Ouvrez votre domaine dans Cloudflare et consultez la page Overview (Vue d’ensemble) pour confirmer que Cloudflare est actif. Si vos serveurs de noms pointent ailleurs, activez plutôt le DNSSEC chez le prestataire qui gère votre DNS.

Étape par étape sur Cloudflare

1. Connectez-vous à Cloudflare et sélectionnez votre domaine.
2. Dans le menu de gauche, accédez à DNS, puis Settings (les anciens tableaux de bord affichent une section DNSSEC directement sous DNS).
3. Repérez DNSSEC et cliquez sur Enable DNSSEC.
4. Cloudflare affichera un panneau de valeurs — la plus importante est l’enregistrement DS. Vous verrez généralement des champs tels que Key Tag, Algorithm, Digest Type, Digest, ainsi qu’un enregistrement DS prêt à l’emploi sur une seule ligne. Laissez ce panneau ouvert ; vous devez copier ces éléments chez votre bureau d’enregistrement.
5. Connectez-vous maintenant à votre bureau d’enregistrement (la société auprès de laquelle vous renouvelez le domaine — il peut s’agir de Cloudflare ou non).
6. Repérez la section DNSSEC ou enregistrement DS de votre domaine chez le bureau d’enregistrement et ajoutez un nouvel enregistrement DS en utilisant exactement les valeurs fournies par Cloudflare :
   • Key Tag — le numéro indiqué par Cloudflare.
   • Algorithm — généralement 13 (ECDSA P-256 SHA-256).
   • Digest Type — généralement 2 (SHA-256).
   • Digest — la longue chaîne hexadécimale, copiée exactement.
7. Enregistrez chez le bureau d’enregistrement. Si votre bureau d’enregistrement vous permet de coller une ligne d’enregistrement DS combinée unique plutôt que des champs séparés, utilisez la ligne DS complète affichée par Cloudflare.
8. De retour dans Cloudflare, une fois l’enregistrement DS accepté par le bureau d’enregistrement, le statut DNSSEC de Cloudflare passera à active (cela peut prendre un certain temps à confirmer).

Pièges fréquents propres à Cloudflare

• Deux systèmes, pas un seul. Activer le DNSSEC dans Cloudflare seul ne fait rien en soi — l’enregistrement DS doit aussi être déposé chez votre bureau d’enregistrement. Les gens s’arrêtent après l’étape 3 et se demandent pourquoi cela ne passe jamais à active.
• Copiez le digest exactement. Un seul caractère erroné ou manquant dans le Digest signifie que l’enregistrement DS du bureau d’enregistrement ne correspondra pas aux signatures de Cloudflare, ce qui est précisément la mauvaise configuration qui met un domaine hors ligne. Copiez-collez ; ne le retapez jamais.
• Faites correspondre les numéros d’algorithme et de type de digest. Si votre bureau d’enregistrement les demande séparément, utilisez les valeurs indiquées par Cloudflare — ne devinez pas.
• Si Cloudflare est aussi votre bureau d’enregistrement, l’étape DS est gérée en interne et vous ne verrez peut-être pas de formulaire de bureau d’enregistrement séparé — mais confirmez que le DNSSEC s’affiche comme active avant de considérer la tâche terminée.
• Ne supprimez jamais l’enregistrement DS tant que Cloudflare signe encore. Et si vous migrez un jour le DNS hors de Cloudflare, désactivez le DNSSEC et effacez l’enregistrement DS chez le bureau d’enregistrement avant le déplacement.
• Laissez-lui le temps. Les changements DNSSEC peuvent mettre de quelques minutes à une journée pour se propager entièrement et s’afficher comme active.

Vérifiez que cela a fonctionné

Une fois le DNSSEC affiché comme active dans Cloudflare et l’enregistrement DS en place chez votre bureau d’enregistrement, lancez la vérification gratuite sur ce site. Elle vous indiquera en langage clair si le DNSSEC est correctement publié et reconnu pour votre domaine.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.