5.1. Gestion du DNS public

5.1.1. Nom de domaine public

Pour être accessible publiquement, une entreprise doit obtenir un nom de domaine.  Nous avons vu que l’IANA gère les noms de domaine de premier niveau.  Pour les noms de domaines inférieurs, elle délègue la tâche de gestion à des registries, un par TLD. Un Registry est la base de données de tous les sous-domaines d’un TLD.  Un registry est géré par un opérateur, appelé parfois Network Information Center.  Ainsi, le registre du domaine .be est géré par DNSBelgium.  

Pour réserver un nom de domaine, on ne s’adresse pas directement à l’opérateur d’un registre, mais à des registars, qui sont chargés de gérer la partie transaction commerciale.  Un registar doit être accrédité par le registry d’un domaine s’il veut pouvoir offrir des sous-domaines dans ce domaine.  

Lors de la définition du nommage DNS dans une entreprise, il est de bonne pratique de séparer le nommage DNS public du nommage DNS interne, afin de limiter les risques de fuites et les accès non autorisés au réseau interne.

Deux options sont possibles pour le DNS interne : 

  • Utiliser un nom de domaine non résolvable publiquement pour la zone interne, avec un TLD “non reconnu” par les root-servers (par ex. mondomaine.internal).  Cependant, cette solution n’est pas toujours pérenne, pour diverses raisons.  Beaucoup d’entreprises utilisent par exemple le TLD .local, mais ce choix n’est plus adéquat, car ce TLD, initialement réservé pour des zones internes, est à présent utilisé notamment pour du multicast DNS.  
  • Utiliser un sous-domaine du domaine public, dont la zone n’existe que dans le DNS interne. C’est l’option recommandée par Bortzmeyer en 2019 dans son article “Il n’existe pas de TLD interne standard”.  Il importera de s’assurer qu’aucune mention à ce sous-domaine ne sera faite dans le SOA public, et que la zone correspondante ne soit accessible que dans le DNS interne. 

5.1.2. Délégation de zone

Une fois le nom de domaine public réservé, il faut à présent faire en sorte d’indiquer au réseau DNS public comment le joindre, c’est-à-dire publier le nom et l’adresse IP du SOA responsable de notre zone.  

Il faut pour cela indiquer à notre domaine parent que nous prenons en charge la résolution de noms pour la zone correspondant à notre domaine-enfant (sous-domaine), via le mécanisme de délégation déjà vu au premier semestre.   Le Registar nous ayant fourni le nom de domaine sera en mesure d’encoder cette information dans le domaine parent, pourvu que nous lui fournissions : 

  • Le Ressource Record NS indiquant le nom DNS de notre serveur DNS SOA. 
  • Si notre serveur SOA est dans notre zone, il faudra également lui fournir le record A avec son adresse IP (Glue Record).