Defaults.Exposed › Configuration › DNSSEC

Comment configurer le DNSSEC sur AWS Route 53

Activez la signature DNSSEC dans Route 53 avec une clé KMS et ajoutez l'enregistrement DS chez votre bureau d'enregistrement pour que personne ne puisse falsifier vos réponses DNS.

Pourquoi cela compte pour votre activité

Lorsqu’une personne visite votre site web ou vous envoie un e-mail, son ordinateur interroge d’abord le système DNS pour obtenir la bonne adresse. Normalement, ces réponses circulent sans signature : un attaquant capable d’altérer la résolution peut donc discrètement rediriger vos visiteurs vers un faux site ou rerouter vos e-mails vers son propre serveur — alors que votre véritable domaine continue de s’afficher dans la barre d’adresse.

Le DNSSEC (Domain Name System Security Extensions, « extensions de sécurité du DNS ») empêche cela. Il signe cryptographiquement vos réponses DNS, de sorte que toute personne vous recherchant peut prouver que la réponse provient réellement de vous et n’a pas été modifiée en chemin. En clair : il bloque le détournement de domaine et l’empoisonnement de cache, ces attaques qui retournent votre propre domaine contre vos clients. La fonctionnalité elle-même est gratuite (la clé de signature utilise une petite clé AWS KMS, qui entraîne un léger coût mensuel), et c’est l’une des protections les plus solides que vous puissiez activer.

Comment fonctionne le DNSSEC sur Route 53

Route 53 répartit la tâche d’une manière qu’il vaut la peine de comprendre avant de commencer :

• Route 53 signe votre zone hébergée à l’aide d’une clé stockée dans AWS KMS (Key Management Service). L’activation de la signature publie les clés publiques (un DNSKEY) et produit un enregistrement DS (Delegation Signer).
• Votre bureau d’enregistrement — la société auprès de laquelle vous renouvelez le domaine — doit ensuite publier cet enregistrement DS dans la zone parente (par exemple .com) afin que le reste d’Internet fasse confiance aux signatures.

Si vous avez enregistré le domaine via Route 53 (Amazon Registrar), l’étape du bureau d’enregistrement reste nécessaire, mais elle se fait dans la console AWS. Si votre bureau d’enregistrement est une autre société, vous y copiez l’enregistrement DS à la main.

Le vrai risque — faites-le avec soin

Le DNSSEC peut mettre tout votre domaine hors ligne s’il est mal configuré. Les deux façons dont cela arrive :

• Un enregistrement DS chez le bureau d’enregistrement qui ne correspond pas à la clé avec laquelle Route 53 signe.
• Désactiver la signature, supprimer la clé KMS ou déplacer le DNS hors de Route 53 sans retirer au préalable l’enregistrement DS chez le bureau d’enregistrement — l’enregistrement DS périmé continue d’exiger des signatures qui n’existent plus, et les résolutions échouent.

Suivez l’ordre ci-dessous exactement. Et si vous migrez un jour le DNS hors de Route 53, supprimez l’enregistrement DS chez le bureau d’enregistrement et désactivez la signature d’abord, puis déplacez.

Vérifiez que Route 53 gère bien votre DNS

Cela ne fonctionne que si Route 53 répond au DNS de votre domaine. Vérifiez que les serveurs de noms (nameservers) de votre domaine pointent vers les quatre serveurs de noms Route 53 listés pour votre zone hébergée (hosted zone). Ouvrez la console Route 53, accédez à Hosted zones, ouvrez votre domaine et notez les valeurs de l’enregistrement NS — le réglage des serveurs de noms chez votre bureau d’enregistrement doit y correspondre. Si vos serveurs de noms pointent ailleurs, activez plutôt le DNSSEC chez le prestataire qui gère votre DNS.

Étape par étape sur Route 53

1. Connectez-vous à la console AWS et ouvrez Route 53.
2. Accédez à Hosted zones et ouvrez la zone hébergée de votre domaine.
3. Ouvrez l’onglet DNSSEC signing et choisissez Enable DNSSEC signing.
4. Pour la key-signing key (KSK) (clé de signature de clé), vous devez fournir une clé KMS gérée par le client :
   • Choisissez Create customer managed key (ou sélectionnez-en une éligible existante).
   • La clé doit être une clé asymétrique avec l’usage Sign and verify, utilisant la spécification ECC_NIST_P256, et elle doit se trouver dans la région US East (N. Virginia) us-east-1 — le DNSSEC de Route 53 exige la clé dans cette région.
   • Donnez un nom à la KSK.
5. Confirmez et activez la signature (enable signing). Route 53 signe désormais la zone hébergée.
6. Toujours dans l’onglet DNSSEC signing, repérez DS record / Establish a chain of trust. Route 53 affiche les valeurs dont vous avez besoin, dont Key Tag, Signing algorithm, Digest algorithm et le Digest (et souvent une ligne d’enregistrement DS prête à l’emploi).
7. Allez maintenant chez votre bureau d’enregistrement et ajoutez l’enregistrement DS :
   • Si le domaine est enregistré dans Route 53 (Amazon Registrar) : la console peut vous guider sous les paramètres du domaine — ou copiez les valeurs dans la section DNSSEC du domaine.
   • Si votre bureau d’enregistrement est une autre société : ouvrez sa section DNSSEC / enregistrement DS et saisissez exactement les valeurs de l’étape 6 — Key Tag, Algorithm (généralement 13), Digest Type (généralement 2) et le Digest.
8. Enregistrez chez le bureau d’enregistrement. La chaîne de confiance est complète une fois l’enregistrement DS accepté dans la zone parente.

Pièges fréquents propres à Route 53

• La clé KMS doit être dans us-east-1. Le DNSSEC de Route 53 n’accepte pas une clé KSK d’une autre région — c’est ce qui piège les gens en premier.
• Utilisez le bon type de clé. Il doit s’agir d’une clé KMS asymétrique, sign-and-verify, ECC_NIST_P256. Une clé symétrique ou de mauvaise spécification ne fonctionnera pas comme KSK.
• Deux systèmes, pas un seul. Activer la signature dans Route 53 seul ne fait rien en soi — l’enregistrement DS doit aussi parvenir au bureau d’enregistrement. Les gens s’arrêtent après l’étape 5 et se demandent pourquoi cela ne se valide jamais.
• Copiez le digest exactement. Un caractère erroné dans le Digest signifie que l’enregistrement DS du bureau d’enregistrement ne correspondra pas à la clé de signature de Route 53 — exactement la mauvaise configuration qui met un domaine hors ligne. Collez, ne retapez jamais.
• Ne supprimez pas la clé KMS tant que la signature est active. Et ne retirez jamais l’enregistrement DS chez le bureau d’enregistrement tant que Route 53 signe encore.
• Désactivez dans le bon ordre avant de déplacer le DNS. Pour migrer : supprimez l’enregistrement DS chez le bureau d’enregistrement, attendez qu’il disparaisse, puis désactivez la signature dans Route 53 — pas l’inverse.
• Laissez-lui le temps. Les changements DNSSEC peuvent mettre de quelques minutes à une journée pour se propager entièrement et se valider.

Vérifiez que cela a fonctionné

Une fois la signature activée dans Route 53 et l’enregistrement DS en place chez votre bureau d’enregistrement, lancez la vérification gratuite sur ce site. Elle vous indiquera en langage clair si le DNSSEC est correctement publié et reconnu pour votre domaine.

Terminé ? Vérifiez votre domaine gratuitement pour confirmer que cela a fonctionné — et voir votre note complète sur les 34 contrôles.