Héberger son DNS et activer DNSSEC

Jean-Cloud · Décembre 18, 2023, 10:53

Bonjour à toustes,

Si j’ai bien compris le fonctionnement de DNSSEC vu de loin, il y a :

Mon serveur DNS qui signe les enregistrement avec une clé.
Mon registrar qui publie un hash (le DS record) permettant de vérifier que la signature des enregistrements est bonne (donc je dois passer par lui).

Donc j’ai configuré bind9 pour qu’il signe, jusque là pas (trop) de soucis.
Par contre je n’arrive pas toujours à publier le DS. Je me suis heurté à ces cas :

Les registrars qui supportent le DNSSEC uniquement si le serveur DNS est hébergé par eux-même :

lws.fr
netim.com (je revérifie dans la semaine)

Question 1 : Est-ce qu’il existe à ce jour un autre moyen de publier les enregistrements DS ?

Les registrars avec qui j’ai réussi à publier le DS

gandi.net (mais pour le prix et la philosophie j’aimerai bien en partir)

Question2 : Est-ce que vous avez d’autres noms à ajouter à ces listes ?

Plus OVH, qui a un formulaire pour renseigner un enregistrement DS, mais dont les champs ne semblent pas correspondre à ce qu’affiche la commande dnssec-dsfromkey de bind9… Et le support n’a pas très envie de m’aider sur cette question ^^’
D’où la question 3 : est-ce que certain·e·s d’entre vous ont réussi à publié un DS de bind9 sur OVH et comment ?

Merci pour votre attention et à bientôt

LautreG · Décembre 18, 2023, 11:34

Bookmyname.com semblerait le permettre.

n-peugnet · Décembre 18, 2023, 9:50

On est chez planethoster.com et ils le permettent mais pas forcément pour tous les TLD. Pour fr en tout cas c’est bon.

C’est probablement le format DNSKEY, en fait c’est la manière dont est stockée la clé privée par BIND de base. Plus d’infos: https://bind9.readthedocs.io/en/stable/dnssec-guide.html#working-with-parent-zone

Jean-Cloud · Décembre 19, 2023, 12:56

C’est probablement le format DNSKEY, en fait c’est la manière dont est stockée la clé privée par BIND de base. Plus d’infos: DNSSEC Guide — BIND 9 9.19.17 documentation

Hélas non, c’est bien un enregistrement DS que j’ai
mondomaine.eu. IN DS 57931 13 2 9063832C0A00BA581A64BC9C965BA40CF45A9CD0E639E5477E15901D4C1ADF66
Je peux même en générer plusieurs différents mais je finis toujours avec l’erreur : KeyTag verification failed with given key data que le support ovh n’explique pas…

n-peugnet · Décembre 19, 2023, 1:03

Désolé je ne comprends pas. Que tu as où ? Si tu parles du résultat de la commande dnssec-dsfromkey il est évident que tu va obtenir un champ DS, c’est le but de cette commande « ds from key ». Mais le contenu du fichier Kmondomaine.eu.+***+***.key lui doit être au format DNSKEY, voir l’example dans la doc de bind: https://bind9.readthedocs.io/en/stable/dnssec-guide.html#dnskey-format

# cd /etc/bind
# cat Kexample.com.+013+10376.key
; This is a key-signing key, keyid 10376, for example.com.
; Created: 20200407150255 (Tue Apr  7 16:02:55 2020)
; Publish: 20200407150255 (Tue Apr  7 16:02:55 2020)
; Activate: 20200407150255 (Tue Apr  7 16:02:55 2020)
example.com. 3600 IN DNSKEY 257 3 13 6saiq99qDB...dqp+o0dw==

Jean-Cloud · Décembre 19, 2023, 1:17

Ok donc c’est moi qui avais mal compris.
Comme je veux que OVH ait l’enregistrement DS, je pensais qu’il fallait lui envoyer l’enregistrement DS… (il me semble que c’est ce que j’avais fait pour gandi de mémoire).
Il fallait bien envoyer la clé au format DNSKEY comme tu as dit.
Merci beaucoup pour ton aide !