DNSSEC OVERVIEW

Le protocole DNSSEC (Domain Name System Security Extension) renforce la sécurité du DNS. Il est conçu pour faire face aux attaques MITM et à l'empoisonnement de cache en authentifiant l'origine des données DNS et en vérifiant leur intégrité lors de leur déplacement sur Internet.

Pourquoi choisir le protocole DNSSEC ? Mode de fonctionnement Piliers de la réussite Histoire des DNSSEC

Le DNS (Domain Name System), le système d'adresse d'Internet, est le composant crucial de l'infrastructure d'Internet. Sans lui, Internet ne peut pas fonctionner. Il n'a toutefois pas été conçu en tenant compte de la sécurité. Il est par conséquent vulnérable aux attaques d'homme du milieu (MITM) et à l'empoisonnement du cache. Ces menaces utilisent des données falsifiées pour rediriger le trafic Internet vers des sites frauduleux ou des adresses détournées. Pour en savoir plus sur le DNS

Lorsqu'un utilisateur ou un périphérique non méfiant se trouve sur le site frauduleux, les cybercriminels peuvent extraire des données de carte de crédit, voler les mots de passe utilisateur, espionner des communications VoIP, installer des logiciels malicieux ou afficher des images ou du texte nuisant à la marque légitime ou fournissant des informations trompeuses. Dans la mesure où un seul serveur de noms DNS peut faire office de point de résolution de nom pour des milliers d'utilisateurs, l'impact potentiel d'une attaque MITM ou d'un empoisonnement de cache peut être considérable.

AVANTAGES DES DNSSEC POUR LES UTILISATEURS FINAUX

Les DNSSEC présentent des opportunités pour tous les membres de l'écosystème Internet. Son impact le plus direct et le plus étendu concerne ses utilisateurs finaux.

  • Activités de confiance : en renforçant la sécurité du DNS, les DNSSEC augmentent la confiance pour une multitude d'activités Internet, notamment le commerce en ligne, la banque en ligne, le courrier électronique, la VoIP et la distribution de logiciels en ligne.
  • Protection des clients et des marques : le protocole DNSSEC réduit le risque pour les clients d'être victimes de cyber-délits lorsqu'ils essaient d'accéder à une ressource.
  • Nouveaux types de transactions sécurisées : les DNSSEC ouvrent la voie à l'utilisation du système DNS pour de nouveaux types de transactions de données sécurisées.

L'IETF (Internet Engineering Task Force) travaille depuis plus de 15 ans au développement d'une norme utilisable pour le protocole DNSSEC (Domain Name System Security Extensions). Les DNSSEC protègent la communauté Internet des données DNS falsifiées en utilisant une cryptographie de clé publique pour apposer une signature numérique aux données de zone ayant autorité lorsqu'elles arrivent dans le système, puis en les validant lorsqu'elles arrivent à destination. Pour en savoir plus sur la cryptographie à clé publique

La signature numérique garantit aux utilisateurs que les données proviennent effectivement de la source spécifiée et qu'elles n'ont pas été modifiées lors de leur transit. Les DNSSEC peuvent également établir si le nom de domaine n'existe pas. Ces fonctionnalités sont essentielles au maintien de la confiance sur Internet.

Dans les DNSSEC, chaque zone possède une paire de clés publique/privée. La clé publique de la zone est publiée à l'aide du DNS, alors que la clé privée de la zone est conservée en toute sécurité et parfaitement stockée hors ligne. La clé privée d'une zone signe les données DNS individuelles comprises dans cette zone, en créant des signatures numériques qui sont également publiées à l'aide du DNS.

Les DNSSEC utilisent un modèle de confiance rigide. Cette chaîne de confiance va d'une zone parent à une zone enfant. Les zones de niveau supérieur (parent) apposent leur signature (ou certifient) les zones de clé publique de niveau inférieur (enfant). Les serveurs de noms ayant autorité pour ces zones peuvent être gérés par des bureaux d'enregistrement, des fournisseurs d'accès à Internet (FAI), des entreprises d'hébergement Web ou les opérateurs de site Web (inscrivants) eux-mêmes.

Lorsqu'un utilisateur final souhaite accéder à un site Web, un stub au sein du système d'exploitation de l'utilisateur demande l'adresse IP du site Web à un serveur de noms récursif. Une fois que le serveur a demandé cet enregistrement, il demande également la clé DNSSEC associée à la zone. Cette clé permet au serveur de vérifier que l'enregistrement d'adresse IP qu'il reçoit est identique à l'enregistrement du serveur de noms ayant autorité.

Si le serveur de noms récursif détermine que l'enregistrement d'adresse a été envoyé par le serveur de noms ayant autorité et n'a pas été modifié durant le transit, il résout le nom de domaine, et l'utilisateur peut accéder au site. Ce processus est appelé validation. Si l'enregistrement d'adresse a été modifié ou n'est pas issu de la source déclarée, le serveur de noms récursif n'autorise pas l'utilisateur à accéder à l'adresse frauduleuse. Les DNSSEC peuvent également prouver qu'un nom de domaine n'existe pas. Grâce à ce processus, les requêtes et réponses du DNS sont protégées contre les attaques MITM et des falsifications susceptibles de rediriger les utilisateurs vers des sites de phishing et de pharming.

Pour assurer le succès global des DNSSEC, Verisign recommande une approche dynamique mais prudente reposant sur trois principes de base :

  • Les DNSSEC représentent une solution adéquate pour une faille spécifique d'Internet, mais il faut la compléter par d'autres couches de sécurité.
  • Un déploiement contrôlé et méthodique des DNSSEC est l'option la plus sûre.
  • L'écosystème Internet entier partage la responsabilité du protocole DNSSEC.

UNE SOLUTION ADÉQUATE POUR UNE FAILLE SPÉCIFIQUE

Bien que le protocole DNSSEC améliore la sécurité du DNS, il n'est qu'un seul composant d'une approche à couches multiples de la sécurité de l'infrastructure d'Internet. Il ne protège pas les serveurs de noms des attaques par déni de service distribué (DDoS), ne garantit pas la confidentialité des échanges de données, ne crypte pas les données des sites Web, ni ne prévient l'usurpation d'adresse IP et le phishing. Les autres couches de protection, telles que la limitation des attaques par déni de service distribué (DDoS), les renseignements de sécurité, le chiffrement SSL (Secure Sockets Layer), la validation de site et l'authentification bifactorielle, sont tout aussi essentielles pour garantir un Internet plus sûr. Ces mécanismes doivent être utilisés conjointement avec les DNSSEC.

DÉPLOIEMENT MESURÉ ET CONTRÔLÉ

La mise en œuvre à grande échelle du protocole DNSSEC introduit un ensemble de changements complexes qui aura un impact sur la totalité de l'écosystème d'Internet et nécessitera énormément de ressources, de documentation, de tests et de coordination de la part du secteur. Tout déploiement de DNSSEC doit s'effectuer en phases, notamment pour garantir la fiabilité des opérations de domaines de premier niveau, tels que .com et .net, laquelle est cruciale au niveau global. Une stratégie, la planification et la collaboration à long terme (non seulement au sein des organisations et des secteurs, mais aussi au niveau international) sont les éléments qui permettront de créer une base solide pour une mise en œuvre réussie.

RESPONSABILITÉ PARTAGÉE

L'empoisonnement du cache pouvant survenir à n'importe quel point d'Internet, l'efficacité du protocole DNSSEC est optimale avec une mise en œuvre universelle, en commençant par la zone racine et les domaines de premier niveau, puis en continuant par les noms de domaines individuels. Les registres, les bureaux d'enregistrement, les inscrivants, les entreprises d'hébergement, les développeurs de logiciels, les fournisseurs de matériel, les gouvernements, les entreprises et agences avec une présence sur Internet, ainsi que les coalitions et technologues Internet ont tous une responsabilité dans la réussite de cet effort à grande échelle.

Alors même que les gouvernements, les institutions financières, les fournisseurs d'accès à Internet, les sociétés et autres organisations sont de plus en plus conscients des menaces liées au DNS, le protocole DNSSEC gagne du terrain.

La zone racine d'Internet, les domaines de premier niveau comme .net, .com, .gov, .org, .museum et .edu, ainsi qu'un bon nombre de domaines géographiques ont terminé le déploiement complet du protocole DNSSEC. Ces domaines de premier niveau ont commencé à accepter des noms de domaine de second niveau, signés DNSSEC. Certains FAI ont annoncé leur intention d'activer la validation sur les serveurs de noms récursifs qui répondent aux requêtes d'utilisateur, et certains bureaux d'enregistrement ont inclus la mise en œuvre des DNSSEC dans leurs feuilles de route. En outre, l'ICANN a ouvert des applications pour les nouveaux domaines de premier niveau et il est probable que toute nouvelle demande de domaine de premier niveau sera acceptée à condition que les candidats prévoient la mise en œuvre du protocole DNSSEC.

DNSSEC TIMELINE

1990 Un défaut majeur est découvert dans le DNS et le dialogue portant sur la sécurité du DNS s'ouvre.
1995 Le protocole DNSSEC devient un thème officiel de l'IETF.
1999 Le protocole DNSSEC (RFC2535) est achevé et BIND9 est développé comme première mise en œuvre compatible DNSSEC.
2001 La gestion des clés crée des problèmes d'exploitation qui empêchent le déploiement des DNSSEC sur les grands réseaux. L'IETF décide de réécrire le protocole.
2005 Les normes DNSSEC sont réécrites dans plusieurs RFC 4033, 4034, 4035. Au mois d'octobre, la Suède (.se) active les DNSSEC dans sa zone.
2007 En juillet, le ccTLD .pr (Porto Rico) active les DNSSEC, suivi par .br (Brésil) en septembre et .bg (Bulgarie) en octobre.
2008 La norme NSEC3 (RFC 5155) est publiée. En septembre, le ccTLD .cz (République Tchèque) active les DNSSEC.
2009 Verisign et EDUCAUSE offrent un environnement de test DNSSEC à une sélection d'inscrivants .edu. Zone racine signée pour utilisation interne par Verisign et ICANN. ICANN et Verisign pratiquent la signature des ZSK avec les KSK.
2010 Le premier serveur racine commence à servir la racine signée en utilisant la méthodologie de la zone racine délibérément impossible à valider (DURZ). Tous les serveurs racine servent la racine signée en utilisant la méthodologie DURZ. ICANN accueille la première cérémonie KSK à Culpeper, Virginie, États-Unis. ICANN publie l'ancrage de confiance de zone racine et les opérateurs racine commencent à servir la zone racine signée avec des clés. La zone racine signée est disponible. Verisign et EDUCAUSE activent le protocole DNSSEC pour le domaine .edu. Verisign active les DNSSEC pour le domaine .net.
2011 En février, le registre compatible DNSSEC .gov est transféré à Verisign. En mars, .com est signé et le service du DNS géré de Verisign est renforcé par la prise en charge totale de la compatibilité DNSSEC. 59 TLD sont signés avec ancrage de confiance dans la zone racine.
2012 En janvier, Comcast annonce que ses clients utilisent des résolveurs de validation DNSSEC. En mars, le nombre de TLD signés est passé à 90.

RÔLE DE VERISIGN

Verisign participe au développement du protocole DNSSEC depuis 2000, et nos ingénieurs ont joué un rôle de premier plan dans le développement du protocole NSEC3. Nous poursuivrons notre collaboration avec la communauté technique d'Internet à mesure que les tests, la mise en œuvre et l'adoption des DNSSEC progressent. Nous avons par exemple été membre actif de la DNSSEC Coalition, une organisation de l'industrie qui se consacre à faciliter l'adoption des DNSSEC. Afin d'utiliser à coup sûr les meilleures pratiques du secteur, nous partageons les enseignements de nos déploiements DNSSEC et soutenons une approche cohérente des DNSSEC pour tous les registres.

En juillet 2010, Verisign, en collaboration avec l'IANA (Internet Assigned Numbers Authority) et le département du Commerce des États-Unis (DoC), a achevé le déploiement du protocole DNSSEC dans la zone racine (point de départ de la hiérarchie DNS). Verisign l'a également activé sur la zone .edu en juillet 2010, en collaboration avec EDUCAUSE, avec le DoC sur .net en décembre 2010 et sur .com en mars 2011. En outre, un certain nombre de domaines de premier niveau ont été signés par d'autres registres, notamment .gov, .org et par les domaines géographiques du Brésil, de la Bulgarie, de la République Tchèque, de Porto Rico et de la Suède.

Nous avons également pris de nombreuses mesures pour aider les membres de l'écosystème Internet à bénéficier du protocole DNSSEC. Ces mesures comprennent la publication de ressources techniques, la mise à disposition d'un environnement de test opérationnel, la conduite de sessions de formation de premier plan, la participation à des forums du secteur, le développement d'outils permettant de simplifier la gestion des DNSSEC et l'aide apportée à la communauté par un laboratoire d'interopérabilité.

lire la suitelire une synthèse

BESOIN DE PLUS D'INFOS ?

Mentions légales// Confidentialité// Archives de référence// Nous contacter// Plan du site


© 2011-2013 VeriSign, Inc. Tous droits réservés.
VERISIGN, le logo VERISIGN et les autres marques commerciales, marques de services et designs sont des marques commerciales déposées ou non déposées appartenant à VeriSign, Inc. et à ses filiales aux États-Unis et à l’étranger. Toutes les autres marques sont détenues par leurs propriétaires respectifs.