DNSSEC pour les décideurs

Alors même que les gouvernements, les institutions financières, les fournisseurs d'accès à Internet, les sociétés et autres organisations sont de plus en plus conscients des menaces liées au DNS, le protocole DNSSEC gagne du terrain.

Internet joue un rôle essentiel pour les gouvernements, le commerce, les communications et la sécurité nationale. Le protocole DNSSEC (Domain Name System Security Extension, Extensions de sécurité du système de noms de domaine) offre un niveau de sécurité supplémentaire pour maintenir la confiance dans cette ressource vitale. Son efficacité sera optimale lorsqu'il aura été adopté par la totalité de la communauté Internet. Découvrez ce que les DNSSEC peuvent signifier pour vous, les problèmes à prendre en compte, et comment Verisign participe au déploiement des DNSSEC pour couvrir Internet de manière globale.

Pourquoi agir dès maintenant Points à envisager Rôle de Verisign

Le protocole DNSSEC est plus efficace s'il est implémenté de façon universelle, en commençant au sommet de la hiérarchie (la zone racine et les domaines de premier niveau) pour passer ensuite aux noms de domaine individuels.

L'envergure, la complexité et l'impact des initiatives DNSSEC mondiales impliquent que les responsables du gouvernement et le secteur privé jouent un rôle essentiel dans la réussite des DNSSEC. En travaillant aux niveaux national et international dans les domaines des télécommunications, normes techniques, commerce, forces de l'ordre, sécurité nationale et défense, les responsables possèdent la visibilité, l'influence et les compétences requises pour créer un élan de nature à favoriser le développement du protocole DNSSEC.

Avantages de haut niveau

Les DNSSEC présentent des opportunités pour tous les membres de l'écosystème Internet. Leur impact le plus direct et étendu concerne leurs utilisateurs finaux et les organisations avec lesquelles ils interagissent. En ajoutant une autre couche de sécurité à Internet, le protocole DNSSEC offres les avantages suivants :

MEMBRE DE L'ÉCOSYSTÈME AVANTAGE
Communauté Internet (c'est-à-dire, opérateurs de sites Web impliqués dans le commerce en ligne, le gouvernement, les services financiers ou les activités commerciales) Amélioration sensible de l'infrastructure de sécurité pour une confiance accrue en Internet
Utilisateurs finaux Réduction du risque de redirections involontaires vers des sites Web frauduleux (causées par les attaques d'homme du milieu et d'empoisonnement du cache) qui pourraient entraîner des vols d'identité et autres atteintes à la sécurité
Bureaux d'enregistrement Avantage concurrentiel lié à l'adoption précoce du protocole ; opportunité de proposer des offres à sécurité renforcée monnayables aux clients.
FAI (fournisseurs d'accès à Internet) Augmentation de la sécurité des données pour les utilisateurs Internet utilisant un serveur de noms d'un FAI pour la navigation sur Internet
Fournisseurs de matériel et de logiciels Possibilité de proposer de nouveaux produits et solutions

La mise en œuvre des DNSSEC n'est pas une tâche banale. Elle demande des ressources, des documents et des tests considérables et une importante coordination au sein de l'industrie. Elle introduit également des changements complexes qui ont un impact plus important sur certains membres de l'écosystème Internet. Il vous faudra tenir compte de ces complexités lors de la recommandation ou de la mise en œuvre de politiques, de planifications et d'autres directives.

  • Les bureaux d'enregistrement doivent mettre à niveau leurs systèmes pour établir une interface avec un registre compatible DNSSEC, fournir un mécanisme permettant aux clients d'envoyer leurs matériaux clés DNSSEC au bureau d'enregistrement et, (si le bureau d'enregistrement fournit des services d'hébergement de DNS) ajouter des services de gestion et de signature de clé DNSSEC complexes et consommateurs de ressources.
  • Les FAI doivent activer les DNSSEC sur leurs serveurs de noms récursifs, s'assurer de la compatibilité des périphériques, et tenir compte du fait que les paquets de réponse DNSSEC peuvent être plus volumineux que les paquets DNS standard et peuvent augmenter les besoins en matière de bande passante.
  • Les fabricants de matériel et fournisseurs de logiciels doivent mettre à niveau leurs produits existants et développer de nouveaux produits compatibles avec DNSSEC et qui prennent en charge les services DNSSEC.

Chacun de ces processus est complexe, exerce un impact sur l'exploitation du système, nécessite des tests importants, et peut prendre plusieurs mois.

Tout déploiement de DNSSEC doit s'effectuer en phases, notamment pour garantir la fiabilité des opérations de domaines de premier niveau, tels que .com et .net, laquelle est cruciale au niveau global. Une stratégie, la planification et la collaboration à long terme (non seulement au sein des organisations et des secteurs, mais aussi au niveau international) sont les éléments qui permettront de créer une base solide pour une mise en œuvre réussie.

Verisign est votre gestionnaire de confiance sur Internet. En notre qualité de registre pour .com et .net, et de prestataire de services d'infrastructure Internet critiques, notre objectif est de favoriser les prochaines innovations d'Internet tout en protégeant la communauté des cyber-menaces nouvelles et à venir. Notre travail sur le protocole DNSSEC constitue une autre étape de nos efforts pour le renforcement et les investissements dans l'infrastructure critique d'Internet.

Verisign participe au développement du protocole DNSSEC depuis 2000 et nos ingénieurs ont joué un rôle de premier plan dans le développement du protocole NSEC3 (DNSSEC Hashed Authenticated Denial of Existence). À mesure que les tests, la mise en œuvre et l'adoption de DNSSEC progressent, nous continuons à collaborer avec la communauté technique d'Internet et à participer aux organisations du secteur, notamment la coalition DNSSEC.

Pour aider à comprendre les implications d'un environnement compatible avec DNSSEC, Verisign a développé le laboratoire d'interopérabilité DNSSEC. Le laboratoire d'interopérabilité est un environnement autonome possédant une suite de 8 000 cas de test, qui a permis aux membres de la communauté informatique de tester la compatibilité des composants de leurs infrastructures Internet et d'entreprise avec le protocole DNSSEC.

En juillet 2010, Verisign, en collaboration avec l'IANA (Internet Assigned Numbers Authority) et le département du Commerce des États-Unis (DoC), a achevé le déploiement du protocole DNSSEC dans la zone racine (point de départ de la hiérarchie DNS). Verisign l'a également activé sur la zone .edu en juillet 2010, en collaboration avec EDUCAUSE, avec le DoC sur .net en décembre 2010 et sur .com en mars 2011. En outre, un certain nombre de domaines de premier niveau ont été signés par d'autres registres, notamment .gov, .org et par les domaines géographiques du Brésil, de la Bulgarie, de la République Tchèque, de Porto Rico et de la Suède.

En outre, nous avons pris de nombreuses mesures pour aider les membres de l'écosystème Internet à bénéficier du protocole DNSSEC. Ces mesures comprennent la publication de ressources techniques, la mise à disposition d'un environnement de test opérationnel, des sessions de formation de premier plan, la participation à des forums du secteur et le développement d'outils permettant de simplifier la gestion des DNSSEC.

lire la suitelire une synthèse

BESOIN DE PLUS D'INFOS ?

Mentions légales// Confidentialité// Archives de référence// Nous contacter// Plan du site


© 2011-2013 VeriSign, Inc. Tous droits réservés.
VERISIGN, le logo VERISIGN et les autres marques commerciales, marques de services et designs sont des marques commerciales déposées ou non déposées appartenant à VeriSign, Inc. et à ses filiales aux États-Unis et à l’étranger. Toutes les autres marques sont détenues par leurs propriétaires respectifs.