DNSSEC pour les fournisseurs de matériel

Découvrez ce que les DNSSEC signifient pour vous et les mesures que vous pouvez adopter pour en assurer la réussite.

À mesure que s'étend l'utilisation du protocole DNSSEC (Domain Name System Security Extension), la demande de périphériques et de matériel Internet compatibles avec les DNSSEC augmente. Verisign s'engage à collaborer avec les fournisseurs de matériel intéressés pour déterminer et résoudre les risques de compatibilité.

Pourquoi agir dès maintenant Besoins Points à envisager Par où commencer

À mesure que l'utilisation des DNSSEC s'étend, les bureaux d'enregistrement, les FAI et les utilisateurs finaux ont davantage besoin d'équipements réseau et d'autres périphériques prenant en charge un environnement compatible DNSSEC.

L'ensemble de ces entités constitue un marché potentiel considérable pour les fournisseurs de matériel capables de répondre rapidement à ce besoin. Cette tendance souligne également les risques commerciaux auxquels s'exposent potentiellement les fournisseurs qui ne proposent pas de produits compatibles DNSSEC. Plus généralement, ces risques et ces opportunités soulignent le rôle vital que jouent les fournisseurs de matériel dans la réussite du déploiement et de l'adoption à grande échelle des DNSSEC.

Les DNSSEC peuvent générer des problèmes de compatibilité avec les équipements réseau prenant en charge le DNS. La résolution de ces problèmes au cours des cycles stratégiques de planification, de développement et de fabrication peut prendre des mois, voire des années. Les fournisseurs de matériel doivent planifier, développer, tester et améliorer leurs produits afin de satisfaire les besoins de sécurité de leurs clients.

En agissant dès maintenant, vous renforcez votre réputation en termes de leadership et d'innovation dans la sécurité Internet, vous vous démarquez de la concurrence et vous introduisez sur le marché des périphériques compatibles DNSSEC avec une longueur d'avance.

Avantages pour les fournisseurs de matériel

En décidant dès maintenant de soutenir l'initiative DNSSEC au niveau mondial, vous pouvez :

  • introduire des mises à niveau et de nouveaux produits qui soient compatibles DNSSEC ;
  • favoriser le renforcement de votre marque et de votre réputation ;
  • entretenir la confiance et la fidélité des clients ;
  • attirer et fidéliser des clients focalisés sur la sécurité ;
  • augmenter le niveau de sécurité Internet pour les clients ;
  • protéger vos activités de base en améliorant le niveau de confiance sur Internet ;
  • jouer un rôle de premier plan et influencer l'avenir des DNSSEC.

Les DNSSEC introduisent des changements complexes dans l'ensemble de l'écosystème d'Internet. Pour permettre aux internautes de bénéficier de ce niveau supplémentaire de sécurité sur Internet, les fabricants d'infrastructures Internet doivent s'assurer que leurs pare-feu, routeurs et autres périphériques réseau sont compatibles avec les DNSSEC. Le bon fonctionnement de ces produits exerce un impact sur toutes les entités qui se connectent à Internet, notamment les entreprises, les fournisseurs d'accès Internet, les particuliers et d'autres clients.

Les DNSSEC peuvent exercer un impact sur tous les périphériques qui analysent le trafic Internet basé sur les couches 3 à 7 de la pile du protocole Open Systems Interconnection (OSI). Des problèmes de compatibilité peuvent résulter du matériel lui-même ou de la configuration définie par les utilisateurs. Certaines études suggèrent que la plupart des routeurs de PME (suivis par les résolveurs de stub) fonctionnent correctement dans un environnement compatible DNSSEC. Les pare-feu professionnels (suivis des serveurs récursifs) représentent le plus grand défi.

Verisign s'inscrit dans la volonté de vous aider à identifier les problèmes de compatibilité posés par vos produits et solutions. Le tableau suivant présente des recommandations à prendre en compte pour la compatibilité avec les DNSSEC.

PROBLÈME : LES PAQUETS COMPATIBLES DNSSEC SONT PLUS VOLUMINEUX (> 512 OCTETS) QUE LES PAQUETS DNS STANDARD.
Explication : les messages du DNS ont toujours été acheminés à l'aide du protocole UDP (User Datagram Protocol), et les normes DNS d'origine limitaient la taille des paquets DNS à 512 octets. Les paquets DNSSEC peuvent contenir des clés publiques et des signatures numériques ; par conséquent, la taille des paquets DNSSEC est souvent supérieure à la taille maximale historique de 512 octets. De nombreux périphériques réseau hérités et certains périphériques réseau actuels peuvent ne pas prendre en charge les paquets DNSSEC plus volumineux. Recommandation : vérifiez les limites de l'équipement quant au traitement des paquets DNSSEC.
PROBLÈME : LE PROTOCOLE DNSSEC (ACTIVATION) GÉNÈRE DAVANTAGE DE TRAFIC TCP.
Explication : en raison des limites de taille d'unité de transmission maximale, le protocole UDP ne peut pas toujours prendre en charge les paquets DNSSEC. Les requêtes et les réponses utilisent alors de nouveau le protocole TCP, qui génère plus de trafic et sollicite davantage les périphériques réseau. En outre, certains périphériques ne sont pas configurés pour autoriser les paquets DNS sur TCP. Dans certains cas, les périphériques ne prennent pas du tout en charge le DNS sur TCP. Recommandation : assurez-vous que votre équipement est compatible avec TCP et est configuré pour le prendre en charge.
PROBLÈME : LE PROTOCOLE DNSSEC (ACTIVATION) NÉCESSITE LA PRISE EN CHARGE DE EDNS0.
Explication : les mécanismes d'extension de DNS (EDNS) sont un ensemble d'extensions du DNS publiées pour la première fois en 1999. Le trafic DNSSEC repose sur ces extensions pour assurer la signalisation supplémentaire et la prise en charge des paquets DNS en UDP dont la taille est supérieure à 512 octets. Certains périphériques réseau peuvent ne pas être en mesure de traiter les paquets DNS avec EDNS0. Recommandation : assurez-vous que votre équipement prend en charge les paquets DNS avec EDNS0.

Verisign souhaite vous aider à assurer la compatibilité de vos périphériques avec les DNSSEC. Prenez connaissance des étapes suivantes avant de commencer.

Évaluer et prévoir

  • Étudiez vos produits existants afin de déterminer leurs limites par rapport au protocole DNSSEC et d'identifier leurs paramètres usine par défaut.
  • Déterminez le rôle des DNSSEC dans votre stratégie de développement de produit.
  • Établissez un calendrier pour le développement des produits, les mises à niveau et les améliorations qui prennent en charge le protocole DNSSEC.

Tester

Testez la compatibilité de votre équipement réseau avec le comportement des DNSSEC.

Découvrir et former

  • Découvrez les avantages et les défis que représente l'implémentation des DNSSEC pour vos clients.
  • Élaborez des stratégies afin d'informer les clients quant à la compatibilité DNSSEC de vos produits.
  • Assurez-vous que votre équipe informatique et votre équipe d'assistance clientèle reçoivent la formation requise pour gérer les problèmes liés aux DNSSEC.
  • Collaborez avec des consortiums industriels, des organismes de normalisation, des éditeurs et des fabricants de matériel pour aider à développer des solutions et des approches permettant de répondre aux besoins de votre société.


lire la suitelire une synthèse

BESOIN DE PLUS D'INFOS ?

Mentions légales// Confidentialité// Archives de référence// Nous contacter// Plan du site


© 2011-2013 VeriSign, Inc. Tous droits réservés.
VERISIGN, le logo VERISIGN et les autres marques commerciales, marques de services et designs sont des marques commerciales déposées ou non déposées appartenant à VeriSign, Inc. et à ses filiales aux États-Unis et à l’étranger. Toutes les autres marques sont détenues par leurs propriétaires respectifs.