DNSSEC pour les bureaux d'enregistrement

Les bureaux d'enregistrement jouent un rôle clé dans la réussite du protocole DNSSEC. Certains fournisseurs de services Internet (FAI) et bureaux d'enregistrement .net/.com s'emploient déjà à déployer le protocole DNSSEC. L'implémentation des DNSSEC étant un processus complexe, Verisign préconise de suivre une approche méthodique. Les bureaux d'enregistrement doivent s'adapter dès que possible afin de disposer de suffisamment de temps pour planifier, développer, tester et améliorer leur implémentation des DNSSEC.

En agissant dès maintenant, vous pouvez prendre une place de leaders avisés en termes de sécurité, vous différencier des concurrents et disposer d'une longueur d'avance sur les nouvelles opportunités de chiffre d'affaire. Vous pouvez également influencer le développement de produits et de services, parmi d'autres initiatives du secteur, qui favorisent vos activités.

Avantages pour les bureaux d'enregistrement dynamiques

L'ajout dynamique de cette couche importante vous permet :

• de contribuer à la protection de la marque et des clients des inscrivants ;
• d'entretenir la confiance et la fidélité des inscrivants ;
• d'attirer et de fidéliser des inscrivants focalisés sur la sécurité et la réputation ;
• de créer de nouvelles offres de service, notamment la signature de zone pour les inscrivants ;
• d'ouvrir la voie à l'utilisation du DNS pour de nouveaux types de transactions de données sécurisées (par exemple, la publication d'autres types de clés publiques et l'authentification de l'origine des courriers électroniques) ;
• protéger vos activités de base en améliorant le niveau de confiance sur Internet ;
• jouer un rôle de premier plan et influencer l'avenir des DNSSEC.

Le protocole DNSSEC introduit des changements complexes qui affectent toutes les parties prenantes dans la chaîne de requête et de résolution du DNS, en particulier les bureaux d'enregistrement et autres entités d'hébergement qui gèrent les serveurs ayant autorité et fournissent des services de gestion clés pour les inscrivants. Nous avons fourni les outils et collaborerons avec vous afin d'assurer le succès du déploiement de vos DNSSEC.

Pour développer les nouveaux services que les inscrivants demanderont très certainement une fois le protocole DNSSEC déployé, vous devrez signer les noms de domaine des inscrivants. L'établissement du protocole DNSSEC pour un inscrivant implique :

• la création de paires de clés privées/publiques pour le nom de domaine.
• la création et la signature de la zone.
• la gestion des paires de clés.

Ces processus garantissent que les résolveurs compatibles DNSSEC appartenant à l'écosystème Internet peuvent vérifier l'authenticité des réponses reçues d'une zone spécifique.

Vous devrez également modifier l'interface de liaison avec vos clients pour assurer la prise en charge des données de clés DNSSEC et modifier votre interface EPP (Extensible Provisioning Protocol) pour transmettre les données de clés DNSSEC aux registres avec lesquels vous communiquez.

Signature de zone
Les tâches suivantes sont associées à la définition et à la signature d'une zone :

• établir des clés de signature de zone (ZKS) qui signent les enregistrements de la zone ;
• établir des clés de signature de clé (KSK) qui signent les enregistrements de clés dans la zone et contribuent à construire la hiérarchie de confiance ;
• générer une zone non signée ;
• signer la zone ;
• tester le système de signature dans un environnement de test hors ligne ;
• introduire progressivement la signature, par exemple en l'utilisant en premier lieu dans les réseaux internes, pour vous assurer que tout continue de fonctionner correctement.

Gestion continue des clés
Les DNSSEC nécessitent que vous changiez régulièrement vos clés privées pour réduire le risque associé à l'obtention possible de la clé par un acteur malveillant. Le roulement des clés consiste à changer la paire de clés d'une zone et à signer celle-ci à nouveau avec la nouvelle clé privée. En cas de roulement d'une clé de signature de clé, vous devez mettre le registre à jour avec les informations de la nouvelle clé publique (enregistrements DS).

Les tâches suivantes sont associées à la gestion des clés :

• gestion des roulements de clés (planifiés et en urgence) pour les clés de signature de zone et les clés de signature de clé ;
• réalisation de nouvelles signatures planifiées des enregistrements de ressources relatives à la sécurité ;
• mise à jour de la zone parent avec des enregistrements DS (Delegation Signer) basés sur les clés de signature de clé.

Considérations supplémentaires
L'hébergement d'une zone signée nécessite la mise en œuvre de serveurs de noms compatibles DNSSEC. La gestion des clés requiert du matériel et des logiciels spécialisés pour le protocole DNSSEC. La mise en œuvre et la gestion de ces composants est un processus complexe et qui demande beaucoup de temps. Vous disposez de plusieurs options : développer une solution DNSSEC en interne, acheter des produits clé en main DNS compatibles avec DNSSEC ou travailler avec un fournisseur de services gérés qualifié qui effectue la signature DNSSEC et la gestion de clés.

Si vous optez pour une solution en interne ou clé en main, vous devez planifier avec soin l'intégration des nouveaux périphériques dans votre système. Vous devez également tester leur mise en œuvre en dehors de l'environnement de production afin de vous assurer que les périphériques fonctionnent correctement lorsque le protocole DNSSEC est activé. L'environnement de test fonctionnel (OTE) Verisign est disponible à cette fin, gratuitement, pour les bureaux d'enregistrement .net et .com.

Il est également conseillé de déterminer si vos périphériques réseau hérités et actuels prennent en charge le protocole DNSSEC. Par exemple, peuvent-ils gérer les paquets DNSSEC, dont la taille peut être supérieure à celle des paquets standard, et prennent-ils en charge le protocole TCP et les mécanismes d'extension pour les paquets DNS ?

Les bureaux d'enregistrement peuvent agir étape par étape pour obtenir progressivement un système compatible DNSSEC qui les aidera à conserver la confiance des inscrivants et des utilisateurs finaux, leur offrira de nouvelles opportunités de revenus et leur conférera un avantage concurrentiel. Nous avons écouté les experts du secteur et tiré les leçons du déploiement de DNSSEC dans la zone racine (.edu, .net et .com) et suggérons par conséquent de suivre les étapes suivantes pour commencer.

Découvrir et former

• Déterminez le rôle des DNSSEC dans votre stratégie de cybersécurité.
• Découvrez les avantages et les défis que représente l'implémentation des DNSSEC.
• Sensibilisez-vous à la cryptographie de clé publique, aux normes de cryptage et à la façon dont les signatures numériques et les clés privée/publique fonctionnent ensemble.
• Assurez-vous que votre équipe informatique et votre équipe d'assistance clientèle reçoivent la formation requise.
• Élaborez des stratégies pour la formation des inscrivants aux DNSSEC.

Prévoir

• Planifiez l'adoption des DNSSEC en définissant plusieurs étapes.
• Déterminez comment vous allez intégrer les DNSSEC dans votre architecture DNS existante.
• Comparez vos options de déploiement : développement en interne, produits DNS compatibles DNSSEC prêts à l'emploi ou services gérés.

Évaluer et mettre à jour

• Déterminez l'impact éventuel des DNSSEC sur la bande passante du réseau. (Les DNSSEC augmentent le trafic réseau).
• Prenez en compte l'impact des DNSSEC sur la gestion du DNS.
• Révisez et mettez à jour les politiques de gestion des clés et la sécurité pour inclure des planifications de roulement de clés, refléter les nouveaux rôles et responsabilités introduits par les DNSSEC et permettre le stockage sécurisé des clés.
• Assurez-vous que votre réseau est configuré correctement ; les définitions de zone doivent être exactes et exhaustives.
• Demandez à vos fournisseurs de matériel s'ils envisagent d'intégrer les DNSSEC et si des mises à niveau sont disponibles pour vos périphériques réseau existants.
• Mettez à jour le matériel DNS et le logiciel de serveur de noms, le cas échéant, de sorte qu'ils soient compatibles avec les DNSSEC.
• Évaluez les produits et les services qui prennent en charge votre implémentation.

Participer

• Inscrivez-vous au forum des bureaux d'enregistrement Verisign.
• Utilisez l'environnement de test fonctionnel Verisign afin de tester l'implémentation de vos DNSSEC.
• Collaborez avec des consortiums industriels, des organismes de normalisation, des éditeurs de logiciel et des fabricants de matériel pour aider à développer des solutions et des approches permettant de répondre aux besoins de votre société.

Verisign s'engage à réduire vos coûts d'implémentation de DNSSEC et à collaborer avec vous afin de déterminer la stratégie de déploiement de DNSSEC la mieux adaptée à votre situation. Nous avons développé les outils et services suivants pour aider la communauté des bureaux d'enregistrement à implémenter les DNSSEC :

• de contribuer à la protection de la marque et des clients des inscrivants ;
• d'entretenir la confiance et la fidélité des inscrivants ;
• d'attirer et de fidéliser des inscrivants focalisés sur la sécurité et la réputation ;
• de créer de nouvelles offres de service, notamment la signature de zone pour les inscrivants ;
• d'ouvrir la voie à l'utilisation du DNS pour de nouveaux types de transactions de données sécurisées (par exemple, la publication d'autres types de clés publiques et l'authentification de l'origine des courriers électroniques) ;
• protéger vos activités de base en améliorant le niveau de confiance sur Internet ;
• jouer un rôle de premier plan et influencer l'avenir des DNSSEC.

Verisign s'engage à réduire vos coûts d'implémentation de DNSSEC et à collaborer avec vous afin de déterminer la stratégie de déploiement de DNSSEC la mieux adaptée à votre situation. Nous avons développé les outils et services suivants pour aider la communauté des bureaux d'enregistrement à implémenter les DNSSEC :

Find out if your website is DNSSEC enabled]]>