Innovation

Extensions de sécurité du système de noms de domaine (DNSSEC)

Authentification d'internet de bout en bout.

Développement du protocole DNSSEC depuis ses débuts

Verisign participe au développement du protocole DNSSEC depuis 2000 et nos ingénieurs ont joué un rôle de premier plan dans le développement du protocole NSEC3 (DNSSEC Hashed Authenticated Denial of Existence). À mesure que les tests, la mise en œuvre et l'adoption du protocole DNSSEC progressent, nous continuons à collaborer avec la communauté technique d'internet et à participer aux organisations du secteur.

En contribuant à protéger les utilisateurs contre les redirections vers des sites frauduleux et des adresses détournées, le protocole DNSSEC (Extensions de sécurité du système de noms de domaine) peut renforcer la confiance qu'ils accordent à internet.

Au mois de juillet 2010, Verisign, en collaboration avec l'IANA (internet Assigned Numbers Authority) et le ministère du commerce des États-Unis (DoC), a achevé le déploiement du protocole DNSSEC dans la zone racine (point de départ de la hiérarchie DNS). Verisign l'a également activé sur la zone .edu en juillet 2010, en collaboration avec EDUCAUSE, avec le DoC sur .net en décembre 2010 et sur .com en mars 2011. L'adoption du protocole DNSSEC progresse depuis 2011, avec un peu plus d'un tiers des registres exploitant les domaines de premier niveau (TLD) signés.

En outre, nous avons pris de nombreuses mesures pour aider les membres de l'écosystème internet à bénéficier du protocole DNSSEC. Ces mesures comprennent la publication de ressources techniques, la mise à disposition d'un environnement de test opérationnel, des sessions de formation de premier plan, la participation à des forums du secteur et le développement d'outils permettant de simplifier la gestion des DNSSEC.

Verisign est votre gestionnaire de confiance sur internet. En qualité de registre pour .com et .net, et de prestataire de services d'infrastructure internet critiques, notre objectif est de favoriser les prochaines innovations d'internet tout en protégeant la communauté des cyber-menaces nouvelles et à venir. Notre travail sur le protocole DNSSEC constitue une autre étape de nos efforts pour le renforcement et les investissements dans l'infrastructure critique d'internet.


Chronologie du protocole DNSSEC

1990 Un défaut majeur est découvert dans le DNS et le dialogue portant sur la sécurité du DNS s'ouvre.
1995 Le protocole DNSSEC devient un thème officiel de l'IETF.
1999 Le protocole DNSSEC (RFC2535) est achevé et BIND9 est développé comme première mise en œuvre compatible DNSSEC.
2001 La gestion des clés crée des problèmes d'exploitation qui empêchent le déploiement des DNSSEC sur les grands réseaux. L'IETF décide de réécrire le protocole.
2005 Les normes DNSSEC sont réécrites dans plusieurs RFC 4033, 4034, 4035. Au mois d'octobre, la Suède (.se) active les DNSSEC dans sa zone.
2007 En juillet, le ccTLD .pr (Porto Rico) active les DNSSEC, suivi par .br (Brésil) en septembre et .bg (Bulgarie) en octobre.
2008 La norme NSEC3 (RFC 5155) est publiée. En septembre, le ccTLD .cz (République Tchèque) active les DNSSEC.
2009 Verisign et EDUCAUSE offrent un environnement de test DNSSEC à une sélection d'inscrivants .edu. Zone racine signée pour utilisation interne par Verisign et ICANN. ICANN et Verisign pratiquent la signature des ZSK avec les KSK.
2010 Le premier serveur racine commence à servir la racine signée en utilisant la méthodologie de la zone racine délibérément impossible à valider (DURZ). Tous les serveurs racine servent la racine signée en utilisant la méthodologie DURZ. ICANN accueille la première cérémonie KSK à Culpeper, Virginie, États-Unis. ICANN publie l'ancrage de confiance de zone racine et les opérateurs racine commencent à servir la zone racine signée avec des clés. La zone racine signée est disponible. Verisign et EDUCAUSE activent le protocole DNSSEC pour le domaine .edu. Verisign active les DNSSEC pour le domaine .net.
2011 En février, le registre compatible DNSSEC .gov est transféré à Verisign. En mars, .com est signé et le service du DNS géré de Verisign est renforcé par la prise en charge totale de la compatibilité DNSSEC. 59 TLD sont signés avec ancrage de confiance dans la zone racine.
2012 En janvier, Comcast annonce que ses clients utilisent des résolveurs de validation DNSSEC. En mars, le nombre de TLD signés est passé à 90.