DNSSEC

Introduction à DNSSEC

Le protocole DNS (pour Domain Name System) joue un rôle clef pour tous les usages internet qui utilisent des noms de domaine dans les identifiants (email, web, VoIP, services web, filtrage de spam, etc). Comme l’un des fondements de l’internet, le protocole DNS joue un rôle clé en veillant à ce que nous puissions trouver ce que nous cherchons sur le net. DNS traduit un nom de domaine en une adresse IP utilisée par les équipements de réseau pour acheminer le trafic et les données sur les ordinateurs, les serveurs et autres matériels.

Il a été conçu à l’origine en 1983 avec comme objectifs essentiels la résistance et l’évolutivité des réseaux informatiques, face à croissance des réseaux en nombre de serveurs, rendant ingérable l’échange du fameux fichier « hosts ». Cette norme DNS d’origine, encore utilisée actuellement, ne comprend pas de volet sécurité puissant, élément devenu aujourd’hui un point essentiel dans le monde informatique. La conception du standard « Domain Name System Security Extensions », connu sous le nom DNSSEC et extension du protocole DNS, est de traiter les lacunes de sécurité et les vulnérabilités du DNS, tels que le « cache poisoning » ou les attaques « man in the middle ». On notera en revanche que DNSSEC ne peut rien contre la modification de données sur les serveurs autoritaires (DNSSEC s’assure au contraire que les résolveurs ont bien récupéré ces données d’un serveur autoritaire de confiance, et que les données sont intègres).

DNSSEC protège les DNS en validant l’authenticité et l’intégrité du système de messagerie DNS. Il vérifie de bout en bout que les signatures d’authentification sont valides et qu’elles ont été faites avec les clés des serveurs légitimes (clés elles-mêmes signées). Ce système crée une chaîne de confiance à toutes les étapes de la résolution des noms de domaine. Si les signatures ne correspondent pas, DNSSEC sera en mesure de notifier de l’inadéquation et d’empêcher la résolution de se faire, évitant ainsi que l’aiguillage du nom de domaine se fasse sur des mauvais serveurs, et assurant que l’information renvoyée est authentique.

Cette vérification se fait en deux volets :

1/ Est-ce j’ai bien récupéré l’information au bon endroit ?

2/ Est-ce que je suis sûr que l’information n’a pas été modifiée en cours de route ?


La racine de DNSSEC a été signé par VeriSign et préparée pour la validation en Juillet 2010.
Depuis, le registre du .ORG et plusieurs registres de ccTLDs ont implémenté ce protocole dans leurs propres zones. Certains avaient commencé avant (le .SE par exemple), mais la signature de la racine a permis de compléter la chaine de confiance de bout en bout. L’implémentation pratique de cette nouvelle norme est prévue pour le .COM est prévue au premier semestre de 2011, et le déploiement global devrait intervenir d’ici la fin de 2011.

La sécurité de nos réseaux et des noms de domaine de nos clients est évidemment au centre des préoccupations du Mailclub. Nous sommes pleinement engagés à soutenir la norme de sécurité DNSSEC. Nous travaillons actuellement avec les leaders de l’industrie dans le domaine de la sécurité DNSSEC afin de vous assurer que nous demeurons à la pointe de cette technologie et son développement. Le fonctionnement de DNSSEC sera transparent pour l’utilisateur final et sera un élément essentiel pour le développement d’un internet plus sûr et fiable à travers le monde.

Plus d’infos sur :
-* http://www.dnssec.net/

Mots-clés :