Accès rapides :
[ Contenu de la page ]
[ Sommaire du site ]
[ Autres informations ]
AFNIC [ english ] Imprimer

 
Vous êtes ici : Accueil > Au sujet de l'AFNIC > Veille technologique et R&D > DNSSEC
 

DNSSEC

DNSSEC signifie Domain Name System Security Extensions ; il constitue une des extensions du protocole DNS (Domain Name System).

DNSSEC a pour but de combler les failles de sécurité spécifiques au DNS. En effet, malgré son rôle prépondérant dans l'internet actuel, le DNS reste vulnérable à des attaques relativement simples à mettre en place mais aux conséquences très dommageables.

Le DNS

L'accès à des services sur l'internet repose aujourd'hui sur l'utilisation massive de l'infrastructure DNS (Domain Name System). Depuis sa création en 1983 (RFC 882), le DNS n'a cessé d'évoluer pour répondre aux besoins de croissance et d'évolution.

Le DNS est un système de distribution de base de données. Son fonctionnement repose sur deux types de serveurs, les serveurs faisant autorité (authoritative server) hébergeant les zones et les serveurs clients, dits récursifs (appelés aussi résolveurs / resolvers ou encore caches DNS), qui interrogent les premiers pour trouver un service et stocker ces informations en mémoire.

Cette décentralisation de l'information permet la flexibilité du système, mais n'intègre pas de mécanisme de sécurité entre serveurs autoritaires et résolveurs.
Le DNS reste donc vulnérable aux modifications de l'information transitant sur le réseau, sans autre possibilité de contrôle que celle d'interroger tous les serveurs et de vérifier les données servies.
L'ensemble des risques pesant sur le DNS est décrit dans le RFC 3833.

Un certain nombre d'évolutions du DNS ont permis de limiter les risques de piratages évoqués dans le RFC 3833. Mais la découverte d'une nouvelle technique d'empoisonnement de serveurs récursifs par Dan Kaminsky a considérablement accru le besoin d'assurer l'intégrité des enregistrements DNS.

Les mécanismes d'authentification cryptographique répondent à ce besoin et c'est par ce moyen que les extensions du DNS, DNSSEC, garantissent l'intégrité des données.

L'apport de DNSSEC

DNSSEC propose des extensions s'appuyant sur l'utilisation de signatures cryptographiques (cryptographie à clés publiques) pour protéger le DNS en fournissant les services suivants :

  • sécurisation des transactions DNS ;
  • sécurisation des informations contenues dans les messages DNS par le biais de l'authentification de leur origine ainsi que la garantie de leur intégrité durant le transport ;
  • stockage et distribution des clés nécessaires au bon fonctionnement des deux premiers services cités ci-dessus.

DNSSEC est ainsi basé sur deux niveaux de sécurisation. On peut qualifier le premier de local puisqu'il consiste en la signature des enregistrements d'une zone par une (des) clé(s) propre(s) à la zone. Le deuxième niveau de sécurité tire parti de la structure arborescente du DNS, la connaissance d'un nombre restreint de clés permet donc grâce à des authentifications en cascade d'accéder à tout enregistrement DNS de manière sécurisé.
DNSSEC a donc été conçu pour répondre aux risques d'empoisonnement des serveurs récursifs, mais permet aussi d'assurer l'intégrité des données entre des serveurs de noms faisant autorité (maîtres et esclaves).

Depuis plus de dix ans, plusieurs réflexions ont été menées à l'IETF, jusqu'à la publication des RFC 4033, RFC 4034 et RFC 4035 qui définissent, en mars 2005, "DNSSEC-bis", une version permettant la simplification de la distribution des clés.
À partir de ce moment, les premiers travaux de mise en oeuvre ont pû commencer, conduisant à la première signature de zone avec DNSSEC en 2007 pour la signature du .se (extension nationale suédoise).

Contexte de déploiement de DNSSEC

Aujourd'hui le processus de déploiement de DNSSEC est massif pour les zones de premier niveau :

  • la quasi-totalité des registres de gros TLD auront signé leurs zones d'ici à 2012 ;
  • la racine du DNS sera complètement signée en juillet 2010 ;
  • d'importants bureaux d'enregistrement accrédités auprès de l'ICANN travaillent aujourd'hui à l'intégration de DNSSEC et permettront prochainement à leurs clients de signer leurs zones  ; certains offrent déjà cette possibilité.

Du côté des serveurs récursifs, ce déploiement est aussi en cours. Des FAI européens ont activé la validation de signatures lorsque l'extension de leur pays a été signée. Aux États-Unis, COMCAST a annoncé des plans de déploiement massifs pour la validation de zones signées par DNSSEC en 2011 période correspondant à la signature de .com. Il est donc raisonnable pour les zones de second niveau d'évaluer cette opportunité dès aujourd'hui.

DNSSEC à l'AFNIC

L'AFNIC a initié l'évaluation de DNSSEC en 2003 au sein du groupe de recherche IDsA (http://www.idsa.prd.fr). Le projet a expérimenté la première version du protocole DNSSEC mais avait conclu que la technologie n'était pas assez mûre pour une mise en oeuvre à court terme.

Ces travaux ont ensuite été poursuivis sur "DNSSEC-bis" par une task-force DNSSEC qui a relevé un développement suffisant de la technologie et dressé une liste de paramètres à définir.

Le projet de signer la zone .fr a été lancé en septembre 2009 avec pour objectif la signature de la zone .fr en 2010 et la signature des délégations ultérieurement.
Une première période de tests a permis de vérifier notre capacité à opérer les options de signatures les plus récentes de DNSSEC et de poser les premières pierres de notre infrastructure de signature.

Signature des zones .fr et .re en 2010

Les zones .fr et .re seront signées le 14 septembre 2010.

Le service sera ouvert aux délégations de .fr ultérieurement.

Paramètres de signature des zones .fr et .re

Clés et algorithme :

  • KSK :
    • Taille 2048 bits
    • Algorithme RSA/SHA2 (256)
    • Durée de vie 2 ans
  • ZSK :
    • Taille 1024 bits
    • Algorithme RSA/SHA2 (256)
    • Durée de vie 3 mois

Signature du déni d'existence :

  • NSEC3 + opt-out :
    • Sel 32 bits
    • 1 itération

Durée de vie des signatures : 2 mois

TTL du SOA : 2 jours

Resignature : mensuelle

En savoir plus

A lireSécurité du DNS et DNSSEC fichier au format PDF


 
 
 
Mon compte
Accès réservé aux Membres,
Bureaux d'enregistrement et Partenaires.
Je m'identifie

 

 

Page mise à jour le 28 juillet 2010
© AFNIC 2003-2010 - Contactez-nous  - Mentions légales - Plan du site - Certificats - Flux RSS et Atom
Signaler un nom de domaine illicite à l'AFNIC - Signaler un contenu ou un comportement sur internet illicite sur www.internet-signalement.gouv.fr 		 

  1. Contacts ;

  2. Présentation ;

  3. Coopération
    internationale ;

  4. Veille technologique et R&D ;

  5. Adhésion ;

  6. Formalités pour devenir bureau d'enregistrement ;

  1. Initiation ;

  2. Guide animé ;

  3. Les extensions ;

  4. 7 bonnes raisons ;

  1. Faites-vous un nom ;

  2. Disponibilité ;

  3. Chartes ;

  4. Bureaux d'enregistrement ;

  5. Après l'enregistrement ;

  1. Formulaires ;

  2. Whois ;

  3. Accès aux données Whois ;

  4. ZoneCheck ;

  1. Actualités des opérations ;

  1. Interface registre ;

  2. Formations ;

  3. FAQ ;

  4. Lexique ;

  5. Références juridiques et techniques ;

  6. Politique de registre ;

  7. Autres domaines (TLD) et autres registres ;

  8. Liens et informations utiles ;

  1. Nouvelles ;

  2. Agenda ;

  3. Statistiques ;

  4. Observatoire du marché ;

  5. Espace presse ;