Domain Name System Security Extensions
DNSSEC (« Domain Name System Security Extensions ») est un protocole standardisé par l'IETF permettant de résoudre certains problèmes de sécurité liés au protocole DNS. Les spécifications sont publiées dans la RFC 4033[1] et les suivantes (une version antérieure de DNSSEC n'a eu aucun succès).
Caractéristiques
DNSSEC permet de sécuriser les données envoyées par le DNS. Contrairement à d'autres protocoles comme TLS, il ne sécurise pas juste un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu'un serveur intermédiaire a été compromis.
DNSSEC signe cryptographiquement les enregistrements DNS et met cette signature dans le DNS. Ainsi, un client DNS méfiant peut récupérer la signature et, s'il possède la clé du serveur, vérifier que les données soient correctes. La clé peut être récupérée via le DNS lui-même (ce qui pose un problème d'œuf et de poule) ou bien par un autre moyen (diffusée via le Web et signée avec PGP par exemple).
DNSSEC permet de déléguer des signatures : ainsi, le registre d'un domaine de premier niveau peut annoncer que tel sous-domaine est signé. On peut ainsi bâtir une chaîne de confiance depuis la racine du DNS.
DNSSEC introduit aussi ses propres problèmes, par exemple, le fait qu'un enregistrement spécial (NSEC, utilisé pour prouver la non-existence d'un enregistrement) indique le prochain domaine de la zone permettant d'énumérer le contenu complet d'une zone signée, même si le transfert de zone n'est pas permis. Ce problème fait que la plupart des TLD utilisent l'enregistrement NSEC3, qui n'a pas ce défaut.
Normalisation et déploiement
Les ajouts au protocole DNS représentant DNSSEC ont été normalisés dans la RFC 2535[2] en mars 1999, puis mis à jour, rendant celle-ci obsolète, par les RFC 4033[1], RFC 4034[3], et RFC 4035[4].
Il est souvent admis[5] que la sécurisation du DNS est d'importance critique à la sécurité de l'Internet dans son ensemble. Cependant, le déploiement de DNSSEC a été ralenti par diverses difficultés :
- Le besoin de définir des standards qui soient compatibles avec les implémentations passées et puissent être déployés sur tout l'Internet ;
- La prévention de l’« énumération de zone DNS » si nécessaire ;
- Le déploiement de DNSSEC dans une large palette de serveurs et résolveurs DNS (clients) ;
- Le désaccord entre ceux mettant en œuvre ce protocole sur la confiance à accorder aux clés de la racine ;
- La complexité apparente de DNSSEC et de son déploiement industriel.
Utilisation
Le registre suédois a été le premier à signer un domaine de premier niveau (TLD) avec DNSSEC en 2007. Début 2010, environ une dizaine de TLD sont signés et beaucoup d'autres ont annoncé leur intention de le faire à court terme.
En décembre 2009, la racine du DNS commence à être signée avec la technologie DNSSEC. Ce processus s'est étalé jusqu'en juillet 2010[6].
Notes et références
- (en) Request for comments no 4033.
- (en) Request for comments no 2535.
- (en) Request for comments no 4034.
- (en) Request for comments no 4035.
- Voir l'interview (en anglais) de Dan Kaminsky sur DNSSEC le 25 juin 2009 Kaminsky interview: DNSSEC addresses cross-organizational trust and security
- ISC Praises Momentous Step Forward in Securing the Domain Name System, ISC, 15 juillet 2010
Voir aussi
Liens externes
- Présentation de DNSSEC
- DNSSEC pour le domaine national de premier niveau
.se
- DNSSEC au RIPE-NCC
- Calendrier de déploiement de DNSSEC au niveau de la racine
- Introduction à DNSSEC
- Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
- Déployer DNSSEC comment, quoi, où ?
- Testez si vous êtes protégé par la validation de signature DNSSEC. Une initiative de la communauté Internet et du gouvernement néerlandais.
- Portail de la sécurité informatique
- Portail d’Internet