C’est une étape finalement peu compliquée à réaliser que de faire enregistrement DS sur OVH avec DNSSEC Cloudflare si l’on prend les choses au bon endroit.
J’avoue avoir toutefois du chercher un peu avant d’y parvenir, c’est pourquoi je me permets de partager la procédure.
Le protocole DNSSEC permet de renforcer l’authentification du DNS via une clé publique et une signature numérique.
Lorsque l’on a ses noms de domaines et ses DNS chez OVH, il suffit d’activer la case Délégation sécurisée – DNSSEC via le manager de son noms de domaine pour que tout fonctionne… Et d’attendre, l’opération pouvant être un peu longue.
Lorsque l’on bascule ses DNS de OVH vers Cloudflare (opération qui peut prendre jusqu’à 48 heures), pour profiter du CDN et du cache entre autres, il faut pour profiter du DNSSEC l’activer dans Cloudflare, une fois les DNS récupérés sur Cloudflare:
Jusqu’ici tout allait bien, mais l’opération se corse car Clouflare nous demande de réaliser un enregistrement DS chez notre registrar pour que tout fonctionne.
. Une fois que vous avez activé le protocole DNSSEC dans Cloudflare, vous devez également ajouter un enregistrement DNS, appelé DS, auprès de votre serveur d’inscription. L’enregistrement DS permet aux résolveurs DNS de vérifier la clé publique utilisée pour signer vos enregistrements DNS
Soit.
Il donne également un lien vers une base de connaissance avec des liens vers des procédures pour toute une liste de serveurs d’inscription qui prennent en charge DNSSEC.
Heureusement, OVH est dans cette liste…
Seulement le lien donné renvoie vers une obscure page API dont on ne sait pas trop quoi faire:
Pas de panique, en fait OVH manager permet l’accès aux enregistrements DS de son domaine via l’onglet DS Records. Il suffit de cliquer modifier, puis ajouter, remplir les champs correctement avec les données fournies par Cloudflare et ensuite de valider.
La correspondance des champs OVH – Cloudflare est la suivante:
* key tag – Balise clé
* Flag – Indicateurs
* Algorithme – Algorithme + Type Digest – 2
* Clé publique (encodée base64) – Clé publique
Une fois l’enregistrement validé, il faut compter quelques minutes avant qu’il soit pris en compte dans l’interface.
Vous pouvez ensuite utiliser un site web de test de DNSSEC pour vérifier que tout est bien enregistré et conforme et vous aurez également l’affichage d’une petite mention verte dans l’encart DNSSEC de votre site sur cloudflare.
