Questions fréquemment posées sur les DNSSEC  

DNS (système de noms de domaine)

Qu'est-ce que le DNS ?
Comment le DNS fonctionne-t-il ?
Pourquoi le DNS est-il vulnérable ?
Qu'est-ce que l'empoisonnement du cache ?
À quoi correspondent les attaques de l'homme du milieu (MITM) ?

DNSSEC

Quelle est l'utilité des DNSSEC ?
Qui bénéficie du protocole DNSSEC ?
Comment le protocole DNSSEC fonctionne-t-il ?
Dans quelle mesure le protocole DNSSEC répond-il aux problèmes de la sécurité Internet ?
Comment un utilisateur est-il informé d'une attaque ?
Que fait Verisign pour implémenter les DNSSEC ?
Quelle est la stratégie de déploiement des DNSSEC de Verisign ?
Quelles sont les conditions permettant d'assurer la réussite du protocole DNSSEC ?
Qui a adopté ou déployé les DNSSEC ?
Une fois les DNSSEC déployés, dois-je toujours utiliser SSL (Secure Sockets Layer) ?
L'utilisation du protocole DNSSEC est-elle requise par la loi ou les normes industrielles ?
Quelle est l'histoire des DNSSEC ?

Bureaux d'enregistrement

Quel est l'impact de la mise en œuvre des DNSSEC sur les bureaux d'enregistrement ?
Que fait Verisign pour assister les bureaux d'enregistrement .com/.net ?
Les consommateurs peuvent-ils acheter le protocole DNSSEC? Comment cela fonctionne-t-il ?

FAI, fournisseurs et opérateurs de site Web (inscrivants)

Que doivent faire les FAI (fournisseurs d'accès à Internet) ?
Quel rôle jouent les fabricants de matériel vis-à-vis du protocole DNSSEC ?
Comment les développeurs prennent-ils en charge le protocole DNSSEC ?
Qu'est-ce que le Verisign DNSSEC Interoperability Lab ?
Comment les opérateurs de site Web assurent-ils la compatibilité avec les DNSSEC ?
Quel rôle les responsables jouent-ils dans la réussite des DNSSEC ?

 

Réponses sur le DNS

Qu'est-ce que le DNS ? 
Le DNS est le système de résolution d'adresses d'Internet. La quasi totalité de ce qui établit une interface avec Internet (c'est-à-dire les ordinateurs, les périphériques mobiles, les ordinateurs portables, les distributeurs de billets et les terminaux point de vente) dépend des services de DNS pour échanger des informations. Le DNS utilise des serveurs spécialisés pour traduire (ou résoudre) les noms tels que www.verisigninc.com en adresses numériques qui permettent aux données et informations d'atteindre leur destination. Toutes les applications Internet (sites Web, courrier électronique, réseaux sociaux, banque en ligne, VoIP, partage de fichiers et vidéo à la demande) dépendent de l'exactitude et de la l'intégrité d'une cette traduction. Sans le DNS, Internet ne peut pas fonctionner. Le DNS fait partie intégrante de l'infrastructure essentielle d'une nation, des opérations commerciales et des transactions financières en ligne et de toutes les communications basées sur Internet. Haut de page

Comment le DNS fonctionne-t-il ? 
L'espace de nom de domaine est une arborescence de noms de domaine, sous-divisée en zones. Le premier niveau, ou zone racine, est administré par le département du Commerce des États-Unis (DoC) et géré conjointement par Verisign et l'opérateur de fonctions IANA (Internet Assigned Numbers Authority), qui assurent la maintenance des données dans les serveurs de noms racine. En savoir plus sur le DNS.

Une zone DNS se compose d'un ensemble de nœuds connectés servis par un serveur de noms ayant autorité. Les serveurs de noms ayant autorité sur différentes zones sont responsables de la publication des mappages de noms de domaine vers des adresses IP. Chaque nœud ou feuille de l'arborescence dispose de zéro ou plusieurs enregistrement(s) de ressources qui contiennent les informations associées au nom de domaine. Chaque nom de domaine se termine par un domaine de premier niveau tel que .com ou .tv.

Pour qu'Internet puisse fonctionner et pour éviter la duplication de noms de domaine, une autorité d'enregistrement des noms de domaine doit exister. Chaque TLD dispose d'un registre officiel, qui gère une base de données centralisée. Le registre propage les informations sur les noms de domaine et les adresses IP dans les fichiers de zone de domaine de premier niveau. Les fichiers de zone de domaine de premier niveau mappent les noms de domaine de second niveau actifs (la partie du nom de domaine qui s'affiche immédiatement à gauche du point ".") vers les adresses IP uniques des serveurs de noms. En savoir plus sur les noms de domaine et l'enregistrement. Haut de page

Pourquoi le DNS est-il vulnérable ? 
Pourquoi le DNS est-il vulnérable ?Le processus de traduction d'un nom de domaine en adresse IP est appelé résolution de DNS. Lorsqu'un nom de domaine, par exemple www.verisign.com, est saisi dans un navigateur Web, le navigateur contacte un serveur de noms pour obtenir l'adresse IP correspondante. Il existe deux types de serveurs de noms : les serveurs de noms ayant autorité, qui stockent des informations complètes sur une zone, ainsi que les serveurs de noms récursifs, qui répondent aux demandes de DNS pour les utilisateurs Internet et stockent les résultats de réponse du DNS pendant une certaine durée. Lorsqu'un serveur de noms récursif reçoit une réponse, il la met en cache (il la stocke) pour accélérer les demandes suivantes. La mise en cache permet de résoudre le nombre de demandes d'informations requises, mais elle est vulnérable aux attaques de l'homme du milieu.

Ces attaques permettent aux cybercriminels :

  • De pirater les courriers électroniques ;
  • D'écouter des communications en VoIP ;
  • D'usurper l'identité de sites Web ;
  • De voler des mots de passe et identifiants de connexion ;
  • D'extraire des données de carte de crédit et autres informations confidentielles.

En savoir plus sur les menaces qui pèsent sur le système DNS. Haut de page

Qu'est-ce que l'empoisonnement du cache ? 
L'empoisonnement de cache se produit lorsque des données du DNS frauduleuses sont insérées dans le cache d'un serveur de noms récursif. Les serveurs de noms récursifs stockent temporairement, ou mettent en cache, les informations obtenues pendant le processus de résolution de nom, mais sans le protocole DNSSEC, ils n'ont aucun moyen de s'assurer de la validité et de la fiabilité de ces informations. Lorsque des informations frauduleuses sont mises en cache dans le nom de serveur récursif, ce dernier est considéré comme étant empoisonné. L'empoisonnement du cache permet à un attaquant de rediriger le trafic vers des sites frauduleux. Haut de page

À quoi correspondent les attaques de l'homme du milieu (MITM) ? 
Une attaque MITM intercepte furtivement, puis modifie les communications entre deux systèmes. L'attaquant peut potentiellement modifier la communication pour rediriger le trafic vers une adresse ou un site Web illégitime. Les utilisateurs finaux ne peuvent pas détecter cet « intercepteur » et partent du principe qu'ils communiquent directement avec la destination qu'ils ont choisie. Haut de page

Réponses sur les DNSSEC

Quelle est l'utilité des DNSSEC ? 
Les DNSSEC protègent la communauté Internet des données DNS falsifiées en utilisant une cryptographie de clé publique pour apposer une signature numérique aux données de zone ayant autorité. La validation DNSSEC garantit aux utilisateurs qu'il s'agit bien les données provenant de la source spécifiée et qu'elles n'ont pas été modifiées lors de leur transit. Les DNSSEC peuvent également prouver qu'un nom de domaine n'existe pas.

Bien que les DNSSEC améliorent la sécurité du DNS, il ne s'agit pas d'une solution exhaustive. Elles ne protègent pas contre les attaques par déni de service distribué (DDoS), ne garantissent pas la confidentialité des échanges de données, ne chiffrent pas les données des sites Web, ni ne préviennent l'usurpation d'adresse IP ou le phishing. Les autres couches de protection, telles que la limitation des attaques par déni de service distribué (DDoS), les renseignements de sécurité, le chiffrement SSL (Secure Sockets Layer), la validation de site et l'authentification bifactorielle, sont tout aussi essentielles pour garantir un Internet plus sûr. Ces mécanismes doivent être utilisés conjointement avec les DNSSEC. Haut de page

Qui bénéficie du protocole DNSSEC ? 
Les DNSSEC affectent tous les composants présents dans l'écosystème de l'infrastructure Internet. Leur déploiement effectif nécessite la participation de nombreux acteurs de la communauté Internet. Les registres, bureaux d'enregistrement, inscrivants de nom de domaine, fournisseurs de matériel et de logiciels, FAI, organismes gouvernementaux et utilisateurs ordinaires d'Internet ont tous un rôle à jouer pour en assurer le succès et apporter des améliorations vitales à la sécurité d'Internet.

Les DNSSEC profitent :

  • À la communauté Internet, grâce à l'amélioration de la sécurité dans les zones qui sont signées ;
  • Aux bureaux d'enregistrement, en leur permettant de proposer des services de signature de domaines à leurs clients ;
  • Aux FAI, grâce à l'amélioration de la sécurité des données retournées à leurs clients ;
  • Aux utilisateurs, en les protégeant des failles du DNS comme l'empoisonnement du cache et les attaques MITM.

Haut de page

Comment le protocole DNSSEC fonctionne-t-il ? 
Dans les DNSSEC, chaque zone possède une paire de clés publique/privée. La clé publique de la zone est publiée à l'aide du DNS, alors que la clé privée de la zone est conservée en toute sécurité et parfaitement stockée hors ligne. La clé privée d'une zone signe les données DNS individuelles comprises dans cette zone, en créant des signatures numériques qui sont également publiées à l'aide du DNS.

Les DNSSEC utilisent un modèle de confiance rigide. Cette chaîne de confiance va d'une zone parent à une zone enfant. Les zones de niveau supérieur (parent) apposent leur signature (ou certifient) les clés publiques des zones de niveau inférieur (enfant). Les serveurs de noms ayant autorité pour ces zones peuvent être gérés par des bureaux d'enregistrement, des FAI, des entreprises d'hébergement Web ou les opérateurs de site Web (inscrivants) eux-mêmes.

Lorsqu'un utilisateur final souhaite accéder à un site Web, un résolveur de stub au sein du système d'exploitation de l'utilisateur demande l'enregistrement du nom de domaine à un serveur de noms récursif, situé chez un FAI. Après avoir demandé cet enregistrement, le serveur demande également la clé DNSSEC associée à la zone. Cette clé permet au serveur de vérifier que les informations qu'il reçoit sont identiques à l'enregistrement du serveur de noms ayant autorité.

Si le serveur de noms récursif détermine que l'enregistrement d'adresse a été envoyé par le serveur de noms ayant autorité et n'a pas été modifié durant le transit, il résout le nom de domaine, et l'utilisateur peut accéder au site. Ce processus est appelé validation. Si l'enregistrement d'adresse a été modifié ou n'est pas issu de la source déclarée, le serveur de noms récursif n'autorise pas l'utilisateur à accéder à l'adresse frauduleuse. Les DNSSEC peuvent également prouver qu'un nom de domaine n'existe pas. Haut de page

Dans quelle mesure le protocole DNSSEC répond-il aux problèmes de la sécurité Internet ? 
Le puzzle complet de la sécurité Internet est constitué de nombreuses pièces. Les DNSSEC peuvent limiter les risques de sécurité causés par les attaques de l'homme du milieu et l'empoisonnement du cache, mais ne constituent pas une solution de sécurité globale. Les DNSSEC ne peuvent résoudre un grand nombre des problèmes de sécurité sur Internet comme l'usurpation d'adresse ou le phishing. Pour cette raison, d'autres couches de protection, comme les certificats SSL et l'authentification bifactorielle, sont cruciales pour qu'Internet soit sûr pour tous. Haut de page

Comment un utilisateur est-il informé d'une attaque ? 
La communauté Internet n'a pas encore mis en place de système standardisé pour informer les utilisateurs d'une attaque. Une solution possible consisterait à développer des navigateurs « compatibles DNSSEC » qui notifieraient les utilisateurs qu'ils sont dirigés vers une destination authentifiée. Haut de page

Que fait Verisign pour implémenter les DNSSEC ? 
En juillet 2010, Verisign, en collaboration avec l'IANA (Internet Assigned Numbers Authority) et le département du Commerce des États-Unis (DoC), a achevé le déploiement du protocole DNSSEC dans la zone racine (point de départ de la hiérarchie DNS). Verisign l'a également activé sur la zone .edu en juillet 2010, en collaboration avec EDUCAUSE et le DoC, sur .net en décembre 2010 et sur .com en mars 2011. Haut de page

Quelle est la stratégie de déploiement des DNSSEC de Verisign ? 
Notre stratégie de déploiement des DNSSEC consiste à commencer par les plus petites zones, d'évaluer chaque déploiement et d'en tirer les enseignements avant de passer à la zone suivante. La zone .com étant la plus vaste, nous la signerons en dernier. Nous souhaitons acquérir autant d'expérience que possible avant de nous attaquer au domaine qui gère la majorité des transactions commerciales et des communications Internet du monde entier. Haut de page

Quelles sont les conditions permettant d'assurer la réussite du protocole DNSSEC ? 
Un déploiement réussi du protocole DNSSEC apporte des avantages importants à la communauté Internet mondiale en augmentant la confiance pour une multitude d'activités Internet, notamment le commerce en ligne, la banque en ligne, le courrier électronique, la VoIP et la distribution de logiciels en ligne. Cependant, la responsabilité de la réussite des DNSSEC repose sur la totalité de la communauté Internet. La réussite exige une participation active et coordonnée des inscrivants, des bureaux d'enregistrement, des sociétés d'hébergement, des développeurs de logiciels, des fournisseurs de matériel, des gouvernements, des technologues d'Internet et des coalitions. Haut de page

Qui a adopté ou déployé les DNSSEC ? 
La zone racine d'Internet, les domaines de premier niveau comme .gov, .org, .museum et bon nombre de domaines géographiques ont signé les zones qu'ils gèrent. L'implémentation des DNSSEC par d'autres domaines de premier niveau comme .edu, .net et .com est prévue en 2010/2011. Ces domaines de premier niveau on commencé à accepter des noms de domaine de second niveau, signés DNSSEC. Les grands FAI tels que Comcast ont annoncé leur intention d'activer la validation sur les serveurs de noms récursifs qui répondent aux demandes des utilisateurs, et certains bureaux d'enregistrement ont intégré la mise en œuvre de DNSSEC dans leurs feuilles de route. En outre, l'ICANN (Corporation for Assigned Names and Numbers) a ouvert des applications pour les nouveaux domaines de premier niveau et il est probable que les plans d'implémentation DNSSEC constitueront une obligation pour l'acceptation des nouvelles demandes de domaines de premier niveau. Haut de page

Une fois les DNSSEC déployés, dois-je toujours utiliser SSL (Secure Sockets Layer) ? 
Bien que les DNSSEC et le protocole SSL reposent sur le chiffrement de clé publique, ils remplissent des fonctions très différentes qui se complètent, plutôt que de se substituer.

Pour simplifier, les DNSSEC traitent la question « Où » et le protocole SSL traite les questions « Qui » et « Comment ».

  • : le protocole DNSSEC utilise des signatures numériques pour vérifier l'intégrité des données DNS, assurant ainsi que les utilisateurs atteignent l'adresse IP souhaitée. Sa tâche est terminée lorsque l'utilisateur atteint l'adresse. Le protocole DNSSEC ne garantit pas l'identité de l'entité à l'adresse et ne crypte pas les interactions entre l'utilisateur et le site.
  • Qui : SSL utilise les certificats numériques pour valider l'identité d'un site. Lorsque ces certificats sont émis par des autorités de certification tierces réputées, SSL garantit l'identité du propriétaire du site Web auprès des utilisateurs. Toutefois, SSL ne permet pas de garantir que les utilisateurs vont accéder aux sites souhaités et ne les protègent donc pas contre les attaques qui les dirigent vers d'autres sites. En d'autres termes, la validation de site SSL est efficace uniquement si l'utilisateur accède en premier lieu au site souhaité.
  • Comment : SSL utilise également les certificats numériques pour crypter les échanges de données entre un utilisateur et un site afin de protéger la confidentialité des transactions financières, des communications, du commerce en ligne et d'autres interactions sensibles.

La combinaison des DNSSEC et du protocole SSL permet d'augmenter le niveau de sécurité et de confiance sur Internet : les utilisateurs peuvent vérifier de manière fiable les sites auxquels ils accèdent, l'identité des personnes avec lesquelles ils communiquent et le niveau de confidentialité de leurs transactions. Haut de page

L'utilisation du protocole DNSSEC est-elle requise par la loi ou les normes industrielles ? 
Le mémo 08-23 de l'OMB (Office of Management and Budget) exigeait que le protocole DNSSEC soit déployé dans le domaine de premier niveau .gov au plus tard en janvier 2009 et que les agences fédérales américaines déploient les DNSSEC sur les sites externes pour décembre 2009. Le registre .gov a été signé au début de l'année 2009. L'agence américaine pour les systèmes d'information de la défense prévoit également de respecter les exigences DNSSEC de l'OMB pour le domaine .mil. Les réglementations de la FISMA (New Federal Information Security Management Act), demandaient aux agences de signer leurs zones intranet au moyen des DNSSEC au plus tard au milieu de l'année 2010. Pour l'instant, les opérateurs de sites Web publics ne sont pas tenus de sécuriser leur domaine à l'aide du protocole DNSSEC. Haut de page

Quelle est l'histoire des DNSSEC ? 
1993 : début des discussions sur le protocole DNS sécurisé
1994 : publication de la première version d'une norme éventuelle
1997 : publication de la norme RFC 2065 (DNSSEC est une norme IETF)
1999 : publication de la norme RFC 2535 (révision de la norme DNSSEC)
2005 : révision complète des normes précédemment publiées
RFC 4033 (Présentation et exigences)
RFC 4034 (Nouveaux enregistrements de ressources)
RFC 4035 (Modifications du protocole)
Juillet 2010 : signature de la zone racine
Juillet 2010 : signature du domaine .edu
Décembre 2010 : signature du domaine .net
Février 2011 : le registre compatible DNSSEC .gov est transféré à Verisign
Mars 2011 : signature du domaine .com
Mars 2011 : le service DNS géré de Verisign est renforcé par la prise en charge totale de la compatibilité DNSSEC
Janvier 2012 : Comcast annonce que ses clients utilisent des résolveurs de validation DNSSEC
Mars 2012 : le nombre de domaines de premier niveau signés passe à 90

Haut de page

Réponses aux questions des bureaux d'enregistrement

Quel est l'impact du processus DNSSEC sur les bureaux d'enregistrement ? 
Les bureaux d'enregistrement doivent signer les noms de domaine pour leurs clients (inscrivants). L'activation du protocole DNSSEC pour un détenteur implique la création de paires de clés privée/publique correspondant au nom de domaine, la création et la signature de la zone, ainsi que la gestion des paires de clés. Ces processus garantissent que les résolveurs compatibles DNSSEC appartenant à l'écosystème Internet peuvent vérifier l'authenticité des réponses reçues d'une zone spécifique. Les bureaux d'enregistrement doivent également modifier l'interface de liaison avec leurs clients pour assurer la prise en charge des données de clés DNSSEC. Ils doivent en outre modifier leur interface EPP (Extensible Provisioning Protocol) pour transmettre les données de clés DNSSEC aux registres avec lesquels ils communiquent. Haut de page

Que fait Verisign pour assister les bureaux d'enregistrement .com/.net ? 
Verisign s'engage à réduire les coûts subis par les bureaux d'enregistrement lors de la mise en œuvre des DNSSEC et à aider ses bureaux d'enregistrement partenaires à déterminer leurs stratégies de déploiement des DNSSEC. Pour aider les bureaux d'enregistrement dans le cadre de leurs processus de gestion des clés et du déploiement des DNSSEC sur leurs serveurs DNS, Verisign met à leur disposition des outils, des formations, des services et une assistance.

L'assistance comprend :

  • Un environnement de test fonctionnel pour .net/.com permettant aux bureaux d'enregistrement de vérifier que le protocole DNSSEC a été mis en œuvre correctement.
  • Des didacticiels DNSSEC fournis par Technical Boot Camp.
  • Un kit de développement de logiciel (SDK) et un outil de protocole extensible (EPP). Un accès au SDK EPP.
  • Le forum technique DNSSEC.
  • Un guide des outils DNSSEC présentant les outils open source relatifs aux DNSSEC et les suites d'automatisation disponibles sur le marché.
  • Un outil téléchargeable basé sur la ligne de commande qui permet aux bureaux d'enregistrement de bénéficier de plusieurs outils open source afin de simplifier la gestion des zones DNSSEC et DNS.
  • Des documents techniques sur le mode de passage des bureaux d'enregistrement à un environnement compatible DNSSEC (disponibles via le forum technique DNSSEC).

Haut de page

Les consommateurs peuvent-ils acheter le protocole DNSSEC? Comment cela fonctionne-t-il ? 
Verisign a investi dans les DNSSEC afin de renforcer l'infrastructure Internet. Les bureaux d'enregistrement et/ou les prestataires de services peuvent développer des services reposant sur les DNSSEC pour leurs clients. Le modèle sera déterminé par le marché. Haut de page

Réponses aux questions des FAI, fournisseurs de matériel et opérateurs de site Web (inscrivants)

Que doivent faire les FAI (fournisseurs d'accès à Internet) ? 
Pour étendre l'utilisation de DNSSEC à l'ensemble de l'écosystème Internet, les FAI devront implémenter le protocole DNSSEC sur leurs serveurs de noms récursifs et assurer la compatibilité de leur infrastructure réseau (pare-feu, routeurs, commutateurs et équilibreurs de charge, par exemple) avec les réponses du DNS plus volumineuses générées par les DNSSEC.

Les serveurs de noms récursifs les plus courants prennent déjà en charge le protocole DNSSEC et nécessitent seulement une mise à jour ou une modification de paramètre. Toutefois, les bureaux d'enregistrement peuvent être amenés à mettre à niveau ou remplacer les serveurs de noms hérités et les périphériques réseau existants. Haut de page

Quel est le rôle des fournisseurs de matériel dans le contexte des DNSSEC ? 
Les DNSSEC introduisent des changements complexes dans l'ensemble de l'écosystème. Pour permettre aux Internautes de bénéficier de ce niveau supplémentaire de sécurité Internet, les fabricants d'infrastructures Internet doivent vérifier que leurs pare-feu, routeurs et autres périphériques sont compatibles avec les DNSSEC. Le bon fonctionnement de ces produits exerce un impact sur presque toutes les entités qui se connectent à Internet, notamment les entreprises, les fournisseurs d'accès Internet, les particuliers et d'autres clients. Haut de page

Comment les développeurs prennent-ils en charge le protocole DNSSEC ? 
Les produits logiciels qui exécutent le DNS ainsi que les applications d'utilisateur final comme les navigateurs et la messagerie électronique sont indispensables à une utilisation efficace et innovante d'Internet. Les bureaux d'enregistrement, les fournisseurs d'accès Internet et les utilisateurs finaux ont besoin de solutions qui intègrent les fonctions DNSSEC. En créant des produits compatibles DNSSEC et en développant des outils simplifiant la gestion des DNSSEC, les développeurs favoriseront son adoption à grande échelle.

Il est possible de créer de la valeur ajoutée pour le client au niveau du système d'exploitation du serveur DNS, du système d'exploitation client et de l'application utilisateur. Par exemple, les bureaux d'enregistrement, les fournisseurs d'accès Internet et les services d'hébergement Web ont besoin de solutions pour simplifier la signature de zone DNSSEC et la gestion de clés. Ils ont également besoin d'un moyen de signaler la validation DNSSEC aux utilisateurs finaux, éventuellement sous forme de repère visuel dans les navigateurs Web. Haut de page

Qu'est-ce que le Verisign DNSSEC Interoperability Lab ? 
Le Verisign DNSSEC Interoperability Lab permet aux membres de la communauté informatique de tester la compatibilité de leurs composants d'infrastructure Internet et d'entreprise avec les DNSSEC.

Grâce aux installations de test, les fournisseurs de matériel et les développeurs de logiciels peuvent déterminer l'impact éventuel des DNSSEC sur leurs solutions et services. Haut de page

Comment les opérateurs de site Web (inscrivants) peuvent-ils activer les DNSSEC ? 
Le protocole DNSSEC est bâti sur une hiérarchie de confiance. Les entités situées aux niveaux supérieurs de la hiérarchie se portent garantes des entités inférieures. En d'autres termes, l'entité qui a fourni un nom de domaine d'opérateur de site Web (généralement un bureau d'enregistrement, un FAI ou un service d'hébergement DNS) doit avoir implémenté les DNSSEC pour que l'opérateur de site Web puisse l'activer.

Pour activer les DNSSEC pour leur site Web, les opérateurs doivent signer leurs informations de noms de domaine de manière numérique. Dans la plupart des cas, ils sont simplement inclus dans ce processus lors de l'enregistrement de leur nom de domaine. S'ils ont déjà enregistré leur nom de domaine et choisissent d'implémenter les DNSSEC pour leur zone, leur bureau d'enregistrement DNSSEC est probablement en mesure de modifier les enregistrements de zone après enregistrement.

Pour des raisons de sécurité ou de conformité, certaines entreprises peuvent être amenées à administrer partiellement en interne le processus DNSSEC. Dans ce cas, l'activation des DNSSEC est plus complexe. Haut de page

Quel rôle les responsables jouent-ils dans la réussite des DNSSEC ? 
Le protocole DNSSEC est plus efficace s'il est implémenté de façon universelle, en commençant au sommet de la hiérarchie (la zone racine et les domaines de premier niveau) pour passer ensuite aux noms de domaine individuels. À l'instar d'autres campagnes internationales, les DNSSEC nécessitent la participation active et coordonnée de nombreux pays et organisations.

L'envergure, la complexité et l'impact des initiatives DNSSEC mondiales impliquent que les responsables du gouvernement et le secteur privé jouent un rôle essentiel dans la réussite des DNSSEC. En travaillant aux niveaux national et international dans les domaines des télécommunications, des normes techniques, du commerce, des forces de l'ordre, de la sécurité nationale et de la défense, les responsables possèdent la visibilité, l'influence et les compétences requises pour créer un élan de nature à favoriser le développement du protocole DNSSEC. Haut de page

BESOIN DE PLUS D'INFOS ?

Mentions légales// Confidentialité// Archives de référence// Nous contacter// Plan du site


© 2011-2013 VeriSign, Inc. Tous droits réservés.
VERISIGN, le logo VERISIGN et les autres marques commerciales, marques de services et designs sont des marques commerciales déposées ou non déposées appartenant à VeriSign, Inc. et à ses filiales aux États-Unis et à l’étranger. Toutes les autres marques sont détenues par leurs propriétaires respectifs.