Debian et DNSSEC
Le
Olivier

--00000000000058b75705be48b68b
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Bonjour,
En installant Bind9 sur une machine, j'ai lu plusieurs r̓©f̓©rences ̓ DNSSEC,
sujet que je connais tr̓¨s mal.
1. Par d̓©faut, une machine Debian sous Buster ou Bullseye, est-elle
configur̓©e pour utiliser DNSSEC plut̓´t que DNS ?
2. Qu'implique en terme d'administration, l'utilisation de DNSSEC ?
Faut-il g̓©rer ou renouveler soi-m̓ªme des certificats ?
Voit-on du traffic TCP/53 ̓ la place d'UDP/53 ?
3. Les op̓©rateurs des serveurs DNS 1.1.1.1, 8.8.8.8, supportent-ils
aussi le DNSSEC ?
Ceux-ci incitent-ils ̓ l'utilisation d'une variante particuli̓¨re (DNS over
TLS, DNS over HTTPS, ).
4. En 2021, cela vaut-il le coup d'investir du temps et des moyens de
"passer ses ̓©quipements" (serveurs, terminaux, routeurs,) au DNSSEC ?
5. Conseils ? Suggestions ?
Slts
--00000000000058b75705be48b68b
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<div dir="ltr"><div>Bonjour,</div><div><br></div><div>En installant Bind9 sur une machine, j'ai lu plusieurs r̓©f̓©rences ̓ DNSSEC, sujet que je connais tr̓¨s mal.<br></div><div><br></div><div>1. Par d̓©faut, une machine Debian sous Buster ou Bullseye, est-elle configur̓©e pour utiliser DNSSEC plut̓´t que DNS ?</div><div><br></div><div>2. Qu'implique en terme d'administration, l'utilisation de DNSSEC ?</div><div>Faut-il g̓©rer ou renouveler soi-m̓ªme des certificats ?</div><div>Voit-on du traffic TCP/53 ̓ la place d'UDP/53 ?</div><div><br></div><div>3. Les op̓©rateurs des serveurs DNS 1.1.1.1, 8.8.8.8, supportent-ils aussi le DNSSEC ?</div><div>Ceux-ci incitent-ils ̓ l'utilisation d'une variante particuli̓¨re (DNS over TLS, DNS over HTTPS, ).</div><div><br></div><div>4. En 2021, cela vaut-il le coup d'investir du temps et des moyens de "passer ses ̓©quipements" (serveurs, terminaux, routeurs,) au DNSSEC ?</div><div><br></div><div>5. Conseils ? Suggestions ?</div><div><br></div><div>Slts<br></div></div>
--00000000000058b75705be48b68b--
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Bonjour,
En installant Bind9 sur une machine, j'ai lu plusieurs r̓©f̓©rences ̓ DNSSEC,
sujet que je connais tr̓¨s mal.
1. Par d̓©faut, une machine Debian sous Buster ou Bullseye, est-elle
configur̓©e pour utiliser DNSSEC plut̓´t que DNS ?
2. Qu'implique en terme d'administration, l'utilisation de DNSSEC ?
Faut-il g̓©rer ou renouveler soi-m̓ªme des certificats ?
Voit-on du traffic TCP/53 ̓ la place d'UDP/53 ?
3. Les op̓©rateurs des serveurs DNS 1.1.1.1, 8.8.8.8, supportent-ils
aussi le DNSSEC ?
Ceux-ci incitent-ils ̓ l'utilisation d'une variante particuli̓¨re (DNS over
TLS, DNS over HTTPS, ).
4. En 2021, cela vaut-il le coup d'investir du temps et des moyens de
"passer ses ̓©quipements" (serveurs, terminaux, routeurs,) au DNSSEC ?
5. Conseils ? Suggestions ?
Slts
--00000000000058b75705be48b68b
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<div dir="ltr"><div>Bonjour,</div><div><br></div><div>En installant Bind9 sur une machine, j'ai lu plusieurs r̓©f̓©rences ̓ DNSSEC, sujet que je connais tr̓¨s mal.<br></div><div><br></div><div>1. Par d̓©faut, une machine Debian sous Buster ou Bullseye, est-elle configur̓©e pour utiliser DNSSEC plut̓´t que DNS ?</div><div><br></div><div>2. Qu'implique en terme d'administration, l'utilisation de DNSSEC ?</div><div>Faut-il g̓©rer ou renouveler soi-m̓ªme des certificats ?</div><div>Voit-on du traffic TCP/53 ̓ la place d'UDP/53 ?</div><div><br></div><div>3. Les op̓©rateurs des serveurs DNS 1.1.1.1, 8.8.8.8, supportent-ils aussi le DNSSEC ?</div><div>Ceux-ci incitent-ils ̓ l'utilisation d'une variante particuli̓¨re (DNS over TLS, DNS over HTTPS, ).</div><div><br></div><div>4. En 2021, cela vaut-il le coup d'investir du temps et des moyens de "passer ses ̓©quipements" (serveurs, terminaux, routeurs,) au DNSSEC ?</div><div><br></div><div>5. Conseils ? Suggestions ?</div><div><br></div><div>Slts<br></div></div>
--00000000000058b75705be48b68b--
Le 24/03/2021 Í 14:59, Olivier a écrit :
Non. DNSSEC est du DNS, les entrées étant simplement valider par le
propriétaire.
Pas des certificats, signer les enregistrements DNS
Aucun lien avec DNSSEC
Oui
Oui
Se renseigner ?
https://cloud.google.com/dns/docs/dnssec?hl=fr
https://www.afnic.fr/produits-services/formations/dnssec/
https://www.icann.org/resources/pages/dnssec-what-is-it-why-important-2019-03-20-fr
--
Daniel