« Retourner

Quelques mots sur les DNSSEC

Domaine

Qu’est-ce que le DNS ?

Le DNS (Domain Name System) est le système qui traduit les noms de domaine lisibles par les humains (par ex. : exemple.fr) en adresses IP numériques utilisées par les ordinateurs (par ex. : 91.227.139.235).
Le DNS agit comme un annuaire téléphonique de l’internet, rendant les adresses numériques compréhensibles et accessibles pour les utilisateurs.

Comment cela fonctionne-t-il ?

  1. Les informations sur les noms de domaine et leurs adresses IP associées sont stockées sur des serveurs DNS.
  2. Ces serveurs permettent la conversion des noms de domaine en adresses IP (et inversement).
  3. Au sommet de la hiérarchie DNS, dans la zone racine, les noms de domaine sont classés par TLD (ex. : .com, .net, .org).

Bien que le DNS soit un outil puissant, il présentait à l’origine des vulnérabilités importantes, notamment un manque de protection contre la falsification des données. C’est pour combler ces lacunes que le DNSSEC a été développé.

 

Qu’est-ce que le DNSSEC ?

Le DNSSEC (Domain Name System Security Extensions) est un ensemble de protocoles qui ajoutent une couche de sécurité aux échanges DNS.
Son objectif principal est de protéger contre les données DNS falsifiées et de garantir que les utilisateurs accèdent bien au site web qu’ils souhaitent visiter.

Comment fonctionne le DNSSEC ?

Le DNSSEC utilise un système de signatures numériques et de clés publiques/privées pour authentifier les données DNS.

  1. Processus de signature :
    • Les données DNS sont signées numériquement à l’aide d’une clé privée sur le serveur DNS.
    • Une clé publique est utilisée par le client pour vérifier ces signatures.
  2. Validation :
    • Lorsqu’un utilisateur saisit un nom de domaine dans son navigateur, le résolveur DNS vérifie la signature numérique.
    • Si la signature est valide, les données DNS sont transmises au client.
    • Si les données ont été modifiées ou falsifiées, la validation échoue, et l’accès est bloqué.
  3. Nouvel enregistrement DNSSEC :
    • Le DNSSEC ajoute des enregistrements spécifiques tels que RRSIG et DNSKEY. Ces enregistrements fonctionnent comme les enregistrements DNS classiques (A, CNAME, MX), mais incluent des signatures numériques.

 

Les clés utilisées par DNSSEC

Le DNSSEC repose sur deux types de clés :

  1. Zone Signing Key (ZSK) :
    • Utilisée pour signer et authentifier des enregistrements DNS spécifiques dans une zone.
  2. Key Signing Key (KSK) :
    • Utilisée pour signer les enregistrements DNSKEY dans la zone, assurant la sécurité des clés.

Ces clés sont stockées sous forme d’enregistrements DNSKEY dans le fichier de zone du domaine.

 

L’enregistrement DS (Delegation Signer)

L’enregistrement DS joue un rôle crucial dans DNSSEC. Il relie une zone DNS sécurisée au TLD auquel elle appartient, établissant une chaîne de confiance.

Prenons un exemple :

quelquechose.com 4200 IN 2472 13 2 16e637262zt822dafs828737sjjd2671jsym6172….

Décomposition des éléments :

  • quelquechose.com : Nom de domaine associé.
  • 4200 : TTL (Time-to-Live), durée pendant laquelle les données sont mises en cache.
  • IN : Désigne l’internet.
  • 2472 : KeyTag, identifiant de la clé.
  • 13 : Type d’algorithme utilisé (chaque algorithme a un numéro spécifique).
  • 2 : Type de digest (fonction de hachage).
  • 16e637… : Hachage de la clé publique.

Tous les enregistrements DS doivent être conformes à la norme RFC 3658.

Besoin d'un domaine ?

Trouvez le meilleur pack chez Rackhost !

Voir plus

Articles similaires