Cérémonie DNSSEC: vers plus de sécurité

Une poignée de spécialistes de SWITCH et un représentant de l’Office fédéral de la communication (OFCOM) ont récemment créé de nouvelles clés de signature DNSSEC. Cette cérémonie annuelle des clés représente un élément important pour améliorer la sécurité d’Internet en Suisse. Découvrez pourquoi.

Texte: Séverine Jagmetti, publié le 27.11.2017

La cérémonie des clés n’est pas une grande fête somptueuse. Il s’agit plutôt d’une rencontre terre-à-terre entre des collaborateurs de SWITCH et un représentant de l’OFCOM. L’objectif de cette rencontre annuelle consiste à générer de nouvelles clés de signature DNSSEC pour les extensions .ch et .li.

La clé de signature de clé (KSK) est administrée hors ligne sur un hébergeur de gestion de clés (KMH). L’exploitation du système de noms de domaine (DNS) implique également la création hors ligne de clés de signature de zone (ZSK) qui sont signées au moyen de la KSK pour une période précise. Cela signifie que la validité des ZSK sur le système en ligne est limitée dans le temps. Le risque qu’elles soient compromises est ainsi grandement réduit. SWITCH change la clé de signature de clé tous les ans et une clé de signature de zone tous les mois. La cérémonie des clés est également l’occasion de créer toutes les clés pour l’année à venir.

Publier des données dans le DNS en toute sécurité

DNSSEC est un élargissement du système de noms de domaine qui a pour but de sécuriser Internet, comme l’abréviation "SEC" l’indique. DNSSEC est nécessaire car le protocole DNS a initialement été développé sans sécurité et peut donc être manipulé. DNSSEC garantit ainsi l’authenticité et l’intégrité des données émanant des réponses DNS. Les signatures cryptographiques garantissent que les réponses DNS ne puissent pas être manipulées secrètement et que les données soient ainsi publiées sur le système de noms de domaine en toute sécurité.

 Presque chaque transaction sur Internet commence par une requête DNS, qu’il s’agisse de l’ouverture d’un site Internet, l’envoi d’un e-mail, l’utilisation d’une messagerie instantanée ou bien la gestion d’un compte bancaire en ligne. DNSSEC permet d’éviter qu’un utilisateur ne soit redirigé vers un serveur indésirable par le biais de réponses DNS falsifiées. Cette technologie représente de plus le fondement d’autres mécanismes de sécurité. Par exemple, le protocole DANE garantit la distribution cryptée d’e-mails au serveur cible correct sans recourir à un tiers (autorité de certification). Conjointement avec d’autres protocoles tels que Transport Layer Security (TLS), ces technologies permettent de sécuriser les transactions sur Internet à plusieurs niveaux.

En tant que service d’enregistrement, SWITCH propose la technologie DNSSEC depuis 2010. Actuellement, presque 2% de tous les noms de domaine comportant l’extension .ch sont signés DNSSEC. SWITCH souhaite convaincre le plus d’utilisateurs Internet possible des avantages représentés par les extensions de sécurité DNSSEC pour les inciter à renforcer leur sécurité sur Internet grâce à l’utilisation de ces extensions. Pour ce faire, la fondation entretient un contact actif avec les registraires, les hébergeurs DNS et les fournisseurs d’accès à Internet. Nous cherchons ensemble des solutions afin d’encourager une utilisation croissante de cette technologie.

SWITCH-CERT sur tous les fronts

Afin de pouvoir assurer au mieux la sécurité de l’extension .ch, l’exploitation professionnelle du système de noms de domaine et la promotion de DNSSEC sont essentielles. SWITCH-CERT, composé de 15 experts en sécurité possédant chacun différentes compétences, a cependant encore bien plus à offrir pour la sécurité d’Internet: le service combat le malware, le phishing et la criminalité économique sur Internet. Tous ces efforts visent à maintenir l’extension .ch comme l’un des domaines de premier niveau (TLD) les plus sûrs en Europe.

 

Que dois-je faire pour utiliser les extensions de sécurité DNSSEC?

En tant qu’utilisateur Internet, vous n’avez rien à faire. Si votre fournisseur d’accès à Internet prend en charge les extensions de sécurité DNSSEC, toutes les vérifications des signatures sont effectuées sur ses serveurs.

Si vous possédez des noms de domaine que vous souhaitez protéger avec la technologie DNSSEC, vous pouvez choisir un registraire ou hébergeur signant vos noms de domaine avec DNSSEC. Certains registraires vous permettent d’effectuer ce changement en un clic.

Plus d’informations

Tags
Security
Autres articles