Actualités du digital

Qu'est-ce que DNSSEC et devez-vous l'activer pour votre site Web? – CloudSavvy IT

réseaux déverrouillés
Shutterstock / NicoElNino

Le DNS a été conçu il y a plus de 30 ans, à l'époque où la sécurité n'était pas l'un des principaux objectifs d'Internet. Sans protections supplémentaires, il est possible pour les attaquants MITM d'usurper des enregistrements et de diriger les utilisateurs vers des sites de phishing. DNSSEC met un terme à cela, et il est facile à activer.

Le DNS par lui-même n'est pas sécurisé

Le système DNS n'inclut aucune méthode intégrée pour vérifier que la réponse à la demande n'a pas été falsifiée ou qu'aucune autre partie du processus n'a été interrompue par un attaquant. C'est un problème, car chaque fois qu'un utilisateur souhaite se connecter à votre site Web, il doit effectuer une recherche DNS pour traduire votre nom de domaine en une adresse IP utilisable. Si l'utilisateur se connecte à partir d'un endroit non sécurisé, comme un café, il est possible que des attaquants malveillants se trouvent au milieu et falsifient les enregistrements DNS. Cette attaque pourrait leur permettre de rediriger les utilisateurs vers une page malveillante en modifiant l'enregistrement de l'adresse IP A.

Heureusement, il existe une solution: DNSSEC, également appelée extensions de sécurité DNS, résout ces problèmes. Il sécurise les recherches DNS en signant vos enregistrements DNS à l'aide de clés publiques. Avec DNSSEC activé, si l'utilisateur récupère une réponse malveillante, son navigateur peut la détecter. Les attaquants n'ont pas la clé privée utilisée pour signer les enregistrements légitimes et ne peuvent plus faire passer un faux.

La signature des clés par DNSSEC remonte tout le long de la chaîne. Lorsque vous vous connectez à example.com, votre navigateur se connecte d'abord à la zone racine DNS, gérée par l'IANA, puis au répertoire de l'extension (.com, par exemple), puis aux serveurs de noms de votre domaine. Lorsque vous vous connectez à la zone racine DNS, votre navigateur vérifiera la clé de signature de la zone racine gérée par l'IANA pour vérifier qu'elle est correcte, puis le .com la clé de signature d'annuaire (signée par la zone racine), puis la clé de signature de votre site, qui est signée par le .com répertoire et ne peut pas être falsifié.

Il convient de noter que dans un proche avenir, ce ne sera plus un problème. Le DNS est en train d'être déplacé vers HTTPS, ce qui le sécurisera contre toutes sortes d'attaques MITM, rendra DNSSEC inutile et empêchera également les FAI d'espionner votre historique de navigation – ce qui explique pourquoi Comcast fait pression contre lui. Dans l'état actuel des choses, il s'agit d'une fonctionnalité facultative dans Chrome et Firefox (avec la prise en charge du système d'exploitation bientôt disponible dans Windows), vous souhaiterez donc toujours activer DNSSEC en attendant.

Comment activer DNSSEC

Si vous exécutez un site Web, en particulier un site Web qui gère les données utilisateur, vous souhaiterez activer DNSSEC pour empêcher tout vecteur d'attaque DNS. Il n'y a pas d'inconvénient à cela, à moins que votre fournisseur DNS ne le propose uniquement en tant que fonctionnalité «premium», comme le fait GoDaddy. Dans ce cas, nous vous recommandons de passer à un fournisseur DNS approprié, tel que Google DNS, qui ne vous fera pas rien pour la sécurité de base. Vous pouvez lire notre guide d'utilisation ici ou en savoir plus sur le transfert de votre domaine.

Si vous utilisez Google Domains, la configuration est littéralement un seul bouton, trouvé dans la console du domaine sous "DNS" dans la barre latérale. Cochez «Activer DNSSEC». Cela prendra quelques heures pour compléter et signer toutes les clés requises. Google Domains prend également entièrement en charge le DNS sur HTTPS, de sorte que les utilisateurs qui l'ont activé seront entièrement sécurisés.

vérifier DNSSEC

Pour Namecheap, cette option est également juste une bascule sous «DNS avancé» dans les paramètres du domaine, et est entièrement gratuite:

Basculer DNSSEC

Si vous utilisez AWS Route 53, il ne prend malheureusement pas en charge DNSSEC. Il s'agit d'un inconvénient nécessaire aux fonctionnalités DNS élastiques qui le rendent idéal en premier lieu: des fonctionnalités telles que les enregistrements d'alias, l'équilibrage de la charge au niveau DNS, les vérifications de l'état et le routage basé sur la latence. Étant donné que Route 53 ne peut raisonnablement pas signer ces enregistrements à chaque fois qu'ils changent, DNSSEC n'est pas possible. Cependant, si vous utilisez vos propres serveurs de noms ou un autre fournisseur DNS, il est toujours possible d'activer DNSSEC pour les domaines inscrit utilisant Route 53 – mais pas les domaines utilisant Route 53 comme service DNS.

Related Posts