C’est une étape finalement peu compliquée à réaliser que de faire enregistrement DS sur OVH avec DNSSEC Cloudflare si l’on prend les choses au bon endroit.
J’avoue avoir toutefois du chercher un peu avant d’y parvenir, c’est pourquoi je me permets de partager la procédure.
Le protocole DNSSEC permet de renforcer l’authentification du DNS via une clé publique et une signature numérique.
Lorsque l’on a ses noms de domaines et ses DNS chez OVH, il suffit d’activer la case Délégation sécurisée – DNSSEC via le manager de son noms de domaine pour que tout fonctionne… Et d’attendre, l’opération pouvant être un peu longue.
Lorsque l’on bascule ses DNS de OVH vers Cloudflare (opération qui peut prendre jusqu’à 48 heures), pour profiter du CDN et du cache entre autres, il faut pour profiter du DNSSEC l’activer dans Cloudflare, une fois les DNS récupérés sur Cloudflare:
Jusqu’ici tout allait bien, mais l’opération se corse car Clouflare nous demande de réaliser un enregistrement DS chez notre registrar pour que tout fonctionne.
. Une fois que vous avez activé le protocole DNSSEC dans Cloudflare, vous devez également ajouter un enregistrement DNS, appelé DS, auprès de votre serveur d’inscription. L’enregistrement DS permet aux résolveurs DNS de vérifier la clé publique utilisée pour signer vos enregistrements DNS
Soit.
Il donne également un lien vers une base de connaissance avec des liens vers des procédures pour toute une liste de serveurs d’inscription qui prennent en charge DNSSEC.
Heureusement, OVH est dans cette liste…
Seulement le lien donné renvoie vers une obscure page API dont on ne sait pas trop quoi faire:
Pas de panique, en fait OVH manager permet l’accès aux enregistrements DS de son domaine via l’onglet DS Records. Il suffit de cliquer modifier, puis ajouter, remplir les champs correctement avec les données fournies par Cloudflare et ensuite de valider.
La correspondance des champs OVH – Cloudflare est la suivante:
* key tag – Balise clé
* Flag – Indicateurs
* Algorithme – Algorithme + Type Digest – 2
* Clé publique (encodée base64) – Clé publique
Une fois l’enregistrement validé, il faut compter quelques minutes avant qu’il soit pris en compte dans l’interface.
Vous pouvez ensuite utiliser un site web de test de DNSSEC pour vérifier que tout est bien enregistré et conforme et vous aurez également l’affichage d’une petite mention verte dans l’encart DNSSEC de votre site sur cloudflare.
Bonjour.
Une précision : j’ai cherché désespérément DSRecords, comme je ne l’ai pas trouvé, comme on le voit sur ton image,
je me suis donc dit : tant pis.
Après avoir modifié les DNS pour Cloudflare, ho miracle, la zone DSRecords est apparue, mais pas comme un mirage, elle y était vraiment et fonctionnelle.
Donc juste une précision à ton article super utile, la zone DSRecords apparait APRES la modification DNS, même si en relisant ton article avec attention, c’est énoncé, mais ça ne m’a pas sauté aux yeux.
Donc si la zone n’y est pas, pour les endormis comme moi, pas de souci : modifier les DNS et hop, vous l’aurez.
Merci pour ton article.
Bonjour,
Merci pour cette précision, j’avoue ne pas avoir fait gaffe à cette petite facétie!
Bonne journée
Merci! Je n’avais pas vu l’onglet DS records ♂️
Merci pour ce post. Cela m’a bien rendu service. 🙂
Un grand merci je ne m’en sortais pas 🙂
merci.
Si on passe par CF, il faut Activer la délégation sur OVH, ou la désactiver ?
Désolé, ce post est un peu vieux et j’avoue ne plus savoir.