Concept

Domain Name System Security Extensions

Résumé
DNSSEC (« Domain Name System Security Extensions ») est un protocole standardisé par l'IETF permettant de résoudre certains problèmes de sécurité liés au protocole DNS. Les spécifications sont publiées dans la et les suivantes (une version antérieure de DNSSEC n'a eu aucun succès). DNSSEC permet de sécuriser les données envoyées par le DNS. Contrairement à d'autres protocoles comme TLS, il ne sécurise pas juste un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu'un serveur intermédiaire a été compromis. DNSSEC signe cryptographiquement les enregistrements DNS et met cette signature dans le DNS. Ainsi, un client DNS méfiant peut récupérer la signature et, s'il possède la clé du serveur, vérifier que les données soient correctes. La clé peut être récupérée via le DNS lui-même (ce qui pose un problème d'œuf et de poule) ou bien par un autre moyen (diffusée via le Web et signée avec PGP par exemple). DNSSEC permet de déléguer des signatures : ainsi, le registre d'un domaine de premier niveau peut annoncer que tel sous-domaine est signé. On peut ainsi bâtir une chaîne de confiance depuis la racine du DNS. DNSSEC introduit aussi ses propres problèmes, par exemple, le fait qu'un enregistrement spécial (NSEC, utilisé pour prouver la non-existence d'un enregistrement) indique le prochain domaine de la zone permettant d'énumérer le contenu complet d'une zone signée, même si le transfert de zone n'est pas permis. Ce problème fait que la plupart des TLD utilisent l'enregistrement NSEC3, qui n'a pas ce défaut. Les ajouts au protocole DNS représentant DNSSEC ont été normalisés dans la en mars 1999, puis mis à jour, rendant celle-ci obsolète, par les , , et . Il est souvent admis que la sécurisation du DNS est d'importance critique à la sécurité de l'Internet dans son ensemble.
À propos de ce résultat
Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.