Empêche les attaques par usurpation de nom (DNS spoofing)
Vérificateur DNSSEC :
Vérificateur d'enregistrements DNSSEC
Utilisez cet outil pour consulter et valider votre enregistrement DNSSEC.
Statut DNSSEC
Handicapés
DNSSEC chez le registraire
Handicapés
DNSSEC au niveau des serveurs de noms
Handicapés
Détails du résultat
Statut du registraire :
Analyser les DNSSEC de la bonne façon avec PowerDMARC
Comprendre DNSSEC
DNSSEC (Domain Name System Security Extensions) est une extension de sécurité qui fonctionne comme un sceau d'authenticité pour les sites web. Elle garantit que chaque fois que vous tapez une adresse web dans votre navigateur (par exemple www.adomainname.com), vous êtes redirigé vers le bon site web et non vers un site frauduleux.
Il ne s'agit pas d'un type d'enregistrement unique, mais plutôt d'une suite d'extensions qui ajoutent des signatures cryptographiques aux enregistrements DNS existants. Cela permet de garantir l'authenticité et l'intégrité des données DNS, en protégeant contre diverses attaques telles que l'empoisonnement DNS et l'usurpation d'identité.
Voici les principaux types d'enregistrements DNSSEC :
DNSKEY : Contient la clé publique utilisée pour vérifier les signatures numériques des autres enregistrements DNSSEC de la zone.
RRSIG : Contient la signature numérique d'un jeu d'enregistrements spécifique (par exemple, A, MX, etc.).
DS : contient une version hachée de l'enregistrement DNSKEY, utilisé pour la délégation et l'ancrage de confiance.
En ajoutant ces types d'enregistrements à une zone DNS, DNSSEC permet aux résolveurs de vérifier l'authenticité des réponses DNS, offrant ainsi un niveau de sécurité plus élevé pour la résolution des noms de domaine.
L'importance de la mise en place de DNSSEC
Les risques liés à la non-utilisation de DNSSEC
Risque d'usurpation d'identité
Les domaines dont le DNSSEC est désactivé sont des cibles faciles pour les pirates.
Risque de cyber-attaques
Les domaines dont le DNSSEC est désactivé sont beaucoup plus vulnérables aux cyberattaques telles que l'usurpation de nom de domaine (DNS spoofing) et l'usurpation d'identité (Man-in-the-middle).
Risque d'atteinte à la réputation
Sans DNSSEC, les domaines sont susceptibles de voir leur réputation entachée et de susciter la méfiance des utilisateurs.
Comment vérifier l'état des DNSSEC : Pas à pas
Utilisation de notre outil de vérification DNSSEC
Vous pouvez facilement vérifier si le DNSSEC est activé pour votre domaine en utilisant notre outil d'analyse DNSSEC. Ce processus de recherche DNSSEC est instantané, sans erreur, et le plus pratique avec notre outil - fournissant des résultats précis à chaque fois !
- Entrez votre nom de domaine (par ex. company.com)
- Cliquez sur le bouton "Recherche".
- Analyser les résultats de la validation DNSSEC
Vérification des DNSSEC à l'aide d'outils en ligne de commande
Vous pouvez utiliser un outil en ligne de commande tel que Dig pour vérifier l'état des DNSSEC, mais ce processus de recherche des DNSSEC est un peu plus compliqué que l'utilisation d'un outil automatisé.
- Installer Dig s'il n'est pas préinstallé sur votre système d'exploitation
- Ouvrez votre invite de commande dig
- Exécutez la commande suivante :
dig +dnssec +multi - Analysez vos résultats
S'assurer que DNSSEC fonctionne correctement
Interprétation des résultats de la validation DNSSEC
Résultat : Valide
Explication: Tout semble fonctionner avec la configuration DNSSEC pour ce domaine. Le DNSSEC est activé au niveau de l'agent d'enregistrement et du serveur de noms et le domaine est sécurisé par une signature DNSSEC. Cela indique que toutes les requêtes DNS pour ce domaine sont authentifiées avec précision pour garantir que les réponses sont authentiques et dignes de confiance.
Résultat : Invalide
Explication: La configuration DNSSEC pour le domaine ne fonctionne pas correctement car elle est désactivée au niveau de l'agent d'enregistrement et du serveur de noms. Le domaine n'a pas de signature DNSSEC pour la validation de l'authenticité des requêtes DNS. Il est conseillé d'activer le DNSSEC pour renforcer la sécurité du système DNS du domaine.
Échecs de la validation DNSSEC et solutions
1. Enregistrements manquants ou incorrects
Question: L'enregistrement DS (Delegation Signer) ou l'enregistrement DNSKEY est manquant, mal configuré ou contient des erreurs. Cela entraîne la rupture de la chaîne de confiance et, par conséquent, l'échec de la validation DNSSEC.
Solution: Veillez à éditer et à configurer des enregistrements DS et DNSKEY exempts d'erreurs.
2. DNSSEC n'est pas correctement configuré
Question: DNSSEC doit être configuré correctement à la fois chez l'agent d'enregistrement et chez les serveurs de noms. S'il n'est pas configuré chez l'un ou l'autre, la validation DNSSEC échouera et pourra causer des problèmes de résolution DNS pour le domaine.
Solution: Vérifiez et configurez votre DNSSEC à la fois chez le registraire et les serveurs de noms.
3. Signatures DNSSEC expirées
Question: Votre signature DNSSEC (RRSIG) a dépassé sa date d'expiration, ce qui entraîne un échec de la validation.
Solution: Utiliser des outils logiciels automatisés pour re-signer les enregistrements DNS avant que la date d'expiration ne soit dépassée.
4. Fiches DS non concordantes
Problème : Les enregistrements DS de la zone parent et de la DNSKEY de la zone enfant ne correspondaient pas, ce qui entraînait un échec de la validation DNSSEC.
Solution: Assurez-vous que les enregistrements DS des deux zones correspondent et sont alignés.
Conseils supplémentaires pour une mise en œuvre réussie des DNSSEC
Pour un déploiement en douceur, vous pouvez prendre en compte les conseils supplémentaires suivants :
Prêt à prévenir les abus de marque, les escroqueries et à avoir une vision complète de votre canal de courrier électronique ?
