DNSSEC
Vulnérabilité de DNS
DNS est un système qui convertit les noms de domaine en adresses IP. Vous en avez besoin pour surfer sur le net, envoyer des courriels, mais également pour la téléphonie, le transfert de fichiers, etc.
Il y a cependant un problème : le protocole DNS n'est pas protégé. Les messages échangés ne sont pas cryptés et l'origine de la réponse ne peut pas être tracée de façon univoque.
Il est en effet possible de polluer le cache provisoire d'un serveur de noms avec de fausses informations, de sorte que le nom de domaine ne soit plus relié à la bonne adresse IP. Concrètement cela signifie qu'alors qu'on pense communiquer avec quelqu'un, les messages sont en fait envoyés par une toute autre personne.
DNSSEC (Domain Name System Security Extensions) est une extension de la sécurité sur le protocole DNS existant : le but en est d'éviter que des criminels ne dévient les utilisateurs, à leur insu, vers des sites frauduleux.
Comment DNSSEC peut-il offrir une protection contre les activités frauduleuses ?
Une signature digitale est rattachée à toutes les données DNS d'un nom de domaine. Lorsqu'un utilisateur charge le nom de domaine (visite du site web ou envoie de courriel), le résolveur contrôle la signature de la réponse au moyen de différentes clés.
S'il est incontestable que DNSSEC offre une protection DNS, ce n'est cependant pas la solution à tous les maux. Il n'offre par exemple aucune protection contre le typosquatting ni le hameçonnage.
La zone .be a été signée avec DNSSEC au mois d'août de cette année : des signatures et une clé publique ont été ajoutées à la zone.
Agents d'enregistrement
DNSSEC est entièrement opérationnel pour .be depuis le 30 septembre 2010. DNS.be veut convaincre le plus grand nombre possible d'agents d'enregistrement d'adopter DNSSEC. Nous organisons des formations et fournissons de la documentation à l'attention des détenteurs de noms de domaine.
Détenteurs de noms de domaine
Pour les utilisateurs de l'internet rien ne change pour l'instant. La prudence reste toujours de mise lors de la visite de sites web. Les détenteurs de noms de domaine, par contre, peuvent demander à leur agent d'enregistrement de protéger leur(s) nom(s) au moyen de DNSSEC.
Comment DNSSEC peut-il offrir une protection contre les activités frauduleuses ?
Une signature digitale est rattachée à toutes les données DNS d'un nom de domaine. Lorsqu'un utilisateur charge le nom de domaine (visite du site web ou envoie de courriel), le résolveur contrôle la signature de la réponse au moyen de différentes clés.
S'il est incontestable que DNSSEC offre une protection DNS, ce n'est cependant pas la solution à tous les maux. Il n'offre par exemple aucune protection contre le typosquatting ni le hameçonnage.
La zone .be a été signée avec DNSSEC au mois d'août de cette année : des signatures et une clé publique ont été ajoutées à la zone.
Agents d'enregistrement
DNSSEC est entièrement opérationnel pour .be depuis le 30 septembre 2010. DNS.be veut convaincre le plus grand nombre possible d'agents d'enregistrement d'adopter DNSSEC. Nous organisons des formations et fournissons de la documentation à l'attention des détenteurs de noms de domaine.
Détenteurs de noms de domaine
Pour les utilisateurs de l'internet rien ne change pour l'instant. La prudence reste toujours de mise lors de la visite de sites web. Les détenteurs de noms de domaine, par contre, peuvent demander à leur agent d'enregistrement de protéger leur(s) nom(s) au moyen de DNSSEC.