DNSSEC (Domain Name System Security Extensions) repose sur deux composantes essentielles :
- Signature : Assure que les enregistrements DNS sont correctement signés et fiables.
- Authentification : Valide les signatures DNSSEC pour garantir que les informations n’ont pas été falsifiées.
1. Signature (Signature des domaines avec DNSSEC)
Pour qu’un domaine soit signé avec DNSSEC, les étapes suivantes sont nécessaires :
- Activation par le propriétaire du domaine :
Le propriétaire du nom de domaine doit activer DNSSEC auprès du fournisseur de services DNS ou d’hébergement web qui gère le serveur DNS. - Création d’un enregistrement DS :
Une fois activé, le DNS du domaine génère un enregistrement Delegation Signer (DS). Cet enregistrement établit une chaîne de confiance totale, reliant les requêtes DNS au domaine cible via des signatures numériques.
Transmission au gestionnaire de TLD :
L’enregistrement DS est transmis au bureau d’enregistrement, qui le transmet à son tour aux gestionnaires du TLD (par exemple, le registre du .com ou .fr).
Note : Le TLD doit être compatible DNSSEC pour que cette étape soit possible.
2. Authentification (Validation par les résolveurs DNS)
Une fois un domaine signé, l’authentification DNSSEC est effectuée par des résolveurs DNS. Ces résolveurs vérifient cryptographiquement les signatures DNSSEC pour s’assurer que les informations sont authentiques et non altérées.
- Résolveurs DNS :
- Ils peuvent être intégrés dans les navigateurs, les systèmes d’exploitation, ou fournis par des services tels que Google Public DNS ou des FAI (fournisseurs d’accès à internet).
- Leur rôle est de valider la signature DNSSEC du domaine.
- Établissement d’une chaîne de confiance :
Les résolveurs DNS vérifient la relation de confiance entre la racine du DNS et le domaine demandé. Cette validation est idéale lorsqu’elle est effectuée près de l’utilisateur final, garantissant une sécurité maximale.
Compatibilité des TLD avec DNSSEC
Pour qu’un domaine soit signé et validé avec DNSSEC, le TLD doit être compatible avec cette extension.
Certains TLD, comme .com, .org, et .fr, prennent en charge DNSSEC, tandis que d’autres ne le supportent pas encore.
Critères pour les TLD compatibles DNSSEC :
- Support du processus d’enregistrement DS : Le TLD doit accepter les enregistrements DS de la part des bureaux d’enregistrement.
- Infrastructure sécurisée : Les gestionnaires du TLD doivent disposer de systèmes capables de gérer les clés et signatures DNSSEC.
TLD courants compatibles DNSSEC :
- .com
- .net
- .org
- .fr
- .eu
- et de nombreux autres TLD génériques et nationaux.
TLD non compatibles DNSSEC :
- Certains TLD plus anciens ou spécifiques n’offrent pas encore ce support. Il est recommandé de vérifier auprès de votre bureau d’enregistrement avant de choisir un TLD pour votre domaine.
Pourquoi utiliser DNSSEC avec un TLD compatible ?
DNSSEC est essentiel pour garantir la sécurité et l’intégrité des requêtes DNS.
En choisissant un TLD compatible DNSSEC, vous assurez que :
- Vos utilisateurs sont protégés contre les attaques telles que le « cache poisoning ».
- Vos données DNS ne sont pas modifiées par des tiers malveillants.
- Votre domaine gagne en crédibilité auprès des utilisateurs et des services en ligne.
Pour une sécurité optimale, il est conseillé de choisir un fournisseur de services DNS qui prend en charge DNSSEC et un TLD compatible.