DNSSEC
Un article de Wikipédia, l'encyclopédie libre.
Cet article est une ébauche concernant la sécurité informatique.
Vous pouvez partager vos connaissances en l’améliorant. (Comment ?).
|
DNSSEC, normalisé dans le RFC 4033 et les suivants (une version antérieure de DNSSEC n'a eu aucun succès), permet de résoudre certains problèmes de sécurité du DNS.
DNSSEC permet de sécuriser les données envoyées par le DNS. Contrairement à d'autres protocoles comme SSL, il ne sécurise pas juste un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu'un serveur intermédiaire trahit.
DNSSEC signe cryptographiquement les enregistrements DNS et met cette signature dans le DNS. Ainsi, un client DNS méfiant peut donc récupérer la signature et, s'il possède la clé du serveur, vérifier que les données sont correctes. La clé peut être récupérée via le DNS lui-même (ce qui pose un problème d'œuf et de poule) ou bien par un autre moyen (diffusée via le Web et signée avec PGP par exemple).
DNSSEC permet de déléguer des signatures : ainsi, le registre d'un TLD peut annoncer que tel sous-domaine est signé. On peut ainsi bâtir une chaîne de confiance depuis la racine du DNS. Pour l'instant, des problèmes politiques (qui a la légitimité pour signer la racine ?) empêchent ce déploiement.
DNSSEC introduit aussi ses propres problèmes, par exemple, le fait qu'un enregistrement spécial indique le prochain domaine de la zone permet d'énumérer le contenu complet d'une zone signée, même si le transfert de zone n'est pas permis.
Aujourd'hui, le registre suédois et le RIPE-NCC (pour le domaine in-addr.arpa) signent leurs enregistrements avec DNSSEC.
[modifier] Liens externes
- [1] Présentation officielle de DNSSEC
- DNSSEC pour ".se"
- DNSSEC au RIPE-NCC