Outil global de validation DNSKEY
L'enregistrement de ressource DNSKEY est la base cryptographique de DNSSEC (Domain Name System Security Extensions). Le protocole DNS de base est intrinsèquement non chiffré et sans état (stateless), ce qui le rend très vulnérable à l'empoisonnement de cache (cache poisoning) et à l'usurpation Man-in-the-Middle (MitM). DNSSEC résout ce problème en attachant des signatures mathématiques et cryptographiques aux réponses DNS. L'enregistrement DNSKEY agit comme le référentiel de clés publiques ; il contient les clés publiques encodées en Base64 que les résolveurs distants utilisent pour vérifier qu'un payload d'enregistrements A ou MX provient véritablement du serveur de noms faisant autorité et n'a pas été manipulé en transit.
L'architecture ZSK et KSK
Une implémentation DNSSEC standard déploie deux clés distinctes pour équilibrer la sécurité avec l'efficacité opérationnelle. La Zone Signing Key (ZSK) est une clé cryptographique plus petite et à faible surcharge utilisée pour signer rapidement les enregistrements individuels (A, TXT, CNAME) au sein de la zone. Comme elle gère la signature en masse, la ZSK est renouvelée fréquemment (par exemple, tous les 30 jours) pour éviter le craquage par force brute. La Key Signing Key (KSK) est une clé beaucoup plus forte et fortement protégée. Son seul but est de signer la ZSK elle-même. En séparant ces clés, les administrateurs peuvent renouveler la ZSK localement sur le serveur de noms sans avoir besoin de communiquer constamment avec le registre TLD parent.
La chaîne de confiance et les enregistrements DS
La publication d'un enregistrement DNSKEY dans votre zone est inutile à moins qu'il n'y ait un chemin de confiance vérifiable s'étendant jusqu'à la racine d'internet. Une fois que la KSK génère une signature, un hachage mathématique de cette KSK est soumis au registrar du domaine en tant qu'enregistrement DS (Delegation Signer). Le registrar publie cet enregistrement DS dans la zone TLD parente (comme le registre .com). Lorsqu'un résolveur récursif interroge votre domaine, il récupère l'enregistrement DS du parent pour authentifier la KSK, utilise la KSK pour authentifier la ZSK, et utilise la ZSK pour authentifier l'adresse IP finale. Si un seul lien de cette chaîne cryptographique est brisé, la validation échoue entièrement.
Pannes catastrophiques SERVFAIL
La gestion des enregistrements DNSKEY nécessite une précision absolue. DNSSEC est conçu pour "échouer fermé" (fail closed). Si un script automatisé renouvelle la ZSK sur le serveur mais que l'enregistrement DNSKEY public correspondant n'est pas mis à jour dans la zone globale, les signatures cryptographiques ne correspondront pas. Les FAI et les résolveurs publics comme Google (8.8.8.8) et Cloudflare (1.1.1.1) interpréteront cela comme une cyberattaque active. Ils supprimeront instantanément la réponse DNS et renverront un statut SERVFAIL fatal au client, effaçant effectivement le domaine d'internet jusqu'à ce que les clés soient synchronisées manuellement ou que DNSSEC soit entièrement désactivé au niveau du registrar.