20.8. Sécurité DNS

DNSSEC, ou sécurité DNS, est décrit dans RFC 2535. Les outils disponibles pour DNSSEC sont abordés dans le manuel de BIND.

Une zone considérée comme sécurisée doit avoir une ou plusieurs clés de zone associées. Celles-ci sont générées dans dnssec-keygen, tout comme les clés de l'hôte. L'algorithme de codage DSA est actuellement utilisé pour générer ces clés. Les clés publiques générées doivent être incluses au fichier de zone correspondant avec une règle $INCLUDE.

Avec la commande dnssec-makekeyset, toutes les clés générées sont regroupées dans un même ensemble, qui doit être transféré à la zone parente de façon sécurisée. Sur le parent, l'ensemble est signé avec dnssec-signkey. Les fichiers générés par cette commande sont ensuite utilisés pour signer les zones avec dnssec-signzone, lequel à son tour génère les fichiers à inclure pour chaque zone dans /etc/named.conf.