Si vous êtes un lecteur assidu de ce blog... Non, je reformule, si vous êtes LE lecteur assidu de ce blog, vous n'êtes pas sans savoir que le protocole clef de voute, DNS (Domain Name System) de l'Internet comporte quelques failles. Le DNS poisoning cela vous dit quelque chose ? Naturellement, ce problème vous empêche de dormir depuis un bon moment car vous n'avez pas attendu Dan Kaminsky pour savoir que ce protocole n'avait pas était fait dans un réel souci de sécurité. Comment vous ne savez pas qu'une solution existe ?Et même depuis un bon moment, son nom DNSSEC (DNS Security Extensions). Mais pourquoi me direz vous cette solution n'est elle pas généralisée et que DNS fait encore peser une épée de Damoclès sur tout Internet ? Ben, je dirais que c'est un peu le même problème qu'avec IPv6, tant qu'une grosse partie de la communauté n'en est pas équipé, l'intérêt est moindre, jusqu'à... Comme son nom l'indique DNSSEC est un ensemble d'extensions qui permettent d'authentifier l'origine des données DNS, et leur intégrité. Ces mécanismes changent le protocole DNS en y ajoutant 4 nouvelles ressources pour pouvoir gérer les clés d'une pki (décrit en détail dans la rfc 4034, et deux flags supplémentaires pour les entêtes.
Par contre DNSSEC ne protège pas contre les attaques par denis de services, ni n'apporte de la confidentialité aux échanges. Tant que l'implémentation de DNS SEC n'est pas de 100%, il faudra « jouer » avec les deux, et c'est là bien sûr que la bas blesse. Les applications doivent aussi être compatibles avec ce protocole pour pouvoir déterminer les réponses authentifiées ou non, les zones signées, les serveurs signés (bind, et tous les browsers devraient s'adapter comme pour le ssl). N'accepter que les requêtes DNSSEC va considérablement réduire votre Internet... Mais les choses bougent ... lentement sur ce sujet. Les domaines edu et gov doivent être à 100% DNSSEC avant la fin de l'année, la Suède suit le même chemin. Allons nous vers la fin de l'épée de Damoclès du web ?
La réponse dans les prochaines années (ou plus vite, si une attaque massive a lieu).
Par contre DNSSEC ne protège pas contre les attaques par denis de services, ni n'apporte de la confidentialité aux échanges. Tant que l'implémentation de DNS SEC n'est pas de 100%, il faudra « jouer » avec les deux, et c'est là bien sûr que la bas blesse. Les applications doivent aussi être compatibles avec ce protocole pour pouvoir déterminer les réponses authentifiées ou non, les zones signées, les serveurs signés (bind, et tous les browsers devraient s'adapter comme pour le ssl). N'accepter que les requêtes DNSSEC va considérablement réduire votre Internet... Mais les choses bougent ... lentement sur ce sujet. Les domaines edu et gov doivent être à 100% DNSSEC avant la fin de l'année, la Suède suit le même chemin. Allons nous vers la fin de l'épée de Damoclès du web ?
La réponse dans les prochaines années (ou plus vite, si une attaque massive a lieu).
_