Activer et tester le DNSSEC sur Debian Squeeze, avec Bind 9.7.3 (fournit par defaut). ~~READMORE~~

Assez simple, mais les logs sont trop bavard.

Sources:

• http://dnssec.vs.uni-due.de/
• http://www.howtoforge.com/configuring-dnssec-on-bind9-9.7.3-on-debian-squeeze-ubuntu-11.10

Vérifier qu'on a bien le fichier suivant:

/etc/bind/bind.keys

Et qu'il n'est pas corrompu:

$ md5sum /etc/bind/bind.keys 
3639ead199c952da2e28408bf80cba8f  /etc/bind/bind.keys

On peut trouver la dernière (et même) version ici:

• https://www.isc.org/bind-keys

Ensuite, on va editer simplement le fichier /etc/bind/named.conf.options (la plupart du temps):
Ajouter l'inclusion suivante:

include "/etc/bind/bind.keys";

(Quoiqu'il parait que ce fichier est chargé automatiquement… )
… et dans la section option , faire en sorte d'avoir:

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

Recharger bind:

# rndc reload

Voila. On peut tester localement comme cela:

$ dig sigok.verteiltesysteme.net @127.0.0.1
...
;; ANSWER SECTION:
sigok.verteiltesysteme.net. 60  IN      A       134.91.78.139
...

Ok si retourne bien une reponse “A”. (comme ci-dessus)

$ dig sigfail.verteiltesysteme.net @127.0.0.1
...
;; QUESTION SECTION:
;sigfail.verteiltesysteme.net.  IN      A
...

Ok si ce test echoue: c'est à dire, ne retourne pas une réponse “A” (comme ci-dessus)

On peut aussi tester à partir de son browser, dans la mesure où il utilise aussi un DNSSEC :

• http://www.dnssec-or-not.org
• http://dnssectest.sidn.nl

Voila.

Et bien en fait, non, je ne puis le faire parce que je n'ai pas de serveurs “slave” accessible pour être configurés en DNSSEC

Ça ne sert a rien d'avoir un master en “DNSSEC” et pas les slaves…