Renforcez la sécurité de votre site avec DNSSEC
Qu’est-ce que DNSSEC ?
Avant toute chose, DNSSEC repose sur le service DNS (Domain Name System), service qui permet de traduire les adresses IP en mots plus intelligibles. Il est en effet plus facile pour un humain de retenir le nom de domaine create2.be que son adresse IP (104.26.14.112). Cette mise en concordance est nommée “résolution des domaines”.
Il faut savoir que les services DNS accèdent à des registres distants, mutualisés et locaux pour gagner du temps. Ainsi, à différents niveaux, l’association “domaine” et “IP” sera conservée pour une durée qui peut être variable d’un domaine à l’autre. C’est un système aussi simple que fragile que DNSSEC tente de renforcer.
DNSSEC (Domain Name System Security Extensions) se traduit littéralement comme “une suite d’extensions de sécurité du système de noms de domaine”. Et plus précisément, qui vise à garantir que les réponses à vos requêtes proviennent de sources légitimes et qu’elles n’ont pas été modifiées en chemin.
Pourquoi est-ce important ?
Quand vous tapez un nom de domaine, vous voulez être sûr d’atteindre le bon site. A fortiori si ce site contient des données sensibles (comme des données financières, médicales et tout autre donnée privée).
En l’absence de DNSSEC, un pirate pourrait cibler un registre local ou celui d’une entreprise pour modifier l’adresse IP du domaine associé. Et dès lors vous présenter un site malveillant en en lieu et place de celui que vous recherchiez, attendant patiemment que vous tapiez vos identifiants pour mieux les utiliser par la suite.
Si présence de DNSSEC et dans les mêmes conditions, la falsification aurait été détectée et le site frauduleux bloqué. Cependant, cela reste de la responsabilité du propriétaire du site d’en faire usage pour se prémunir des usurpations et protéger ses visiteurs, clients, etc. Ce n’est donc pas la norme.
Comment cela fonctionne ?
DNSSEC utilise des signatures numériques et des clés cryptographiques pour garantir que les réponses DNS sont authentiques et n’ont pas été falsifiées. Grâce à une chaîne de confiance qui remonte jusqu’à la racine du DNS, chaque étape de la résolution de noms de domaine est sécurisée, protégeant ainsi les utilisateurs contre les attaques par falsification.
Les composantes
- Des signatures numériques : Une signature numérique est comme un sceau de sécurité. Quand une zone DNS (comme example.com) veut prouver que ses informations sont authentiques, elle utilise une signature numérique. Cette signature est créée à l’aide d’une clé privée, qui est gardée secrète. La clé publique, quant à elle, est publiée pour que tout le monde puisse vérifier la signature.
- Des clés cryptographiques : DNSSEC utilise deux types de clés :
- Zone Signing Key (ZSK) : Utilisée pour signer les enregistrements DNS individuels dans la zone. La ZSK est régulièrement changée pour des raisons de sécurité.
- Key Signing Key (KSK) : Utilisée pour signer la ZSK. La KSK est généralement plus stable et change moins fréquemment.
- Des enregistrements DNS : DNSSEC introduit plusieurs nouveaux types d’enregistrements dans le DNS :
- RRSIG (Resource Record Signature) : Cet enregistrement contient la signature numérique des enregistrements DNS. Il prouve que les données sont authentiques et n’ont pas été modifiées.
- DNSKEY : Cet enregistrement contient les clés publiques utilisées pour vérifier les signatures des enregistrements RRSIG.
- DS (Delegation Signer) : Cet enregistrement est utilisé pour relier une zone DNS à sa zone parente, établissant ainsi une chaîne de confiance.
- NSEC/NSEC3 : Ces enregistrements fournissent des preuves cryptographiques qu’un nom de domaine n’existe pas dans la zone, empêchant certaines attaques par falsification.
- Une chaîne de confiance : DNSSEC crée une “chaîne de confiance” en utilisant les enregistrements DS et DNSKEY. Voici comment cela fonctionne :
- Zone racine : La zone racine du DNS est signée avec une KSK publique que tout le monde connaît et en qui on peut avoir confiance. Cette KSK signe la ZSK de la zone racine.
- Zones parent et enfant : La zone racine signe l’enregistrement DS de la zone .com, qui à son tour signe l’enregistrement DS de example.com. Cela crée une chaîne ininterrompue de confiance depuis la racine jusqu’à la zone enfant.
- Validation : Quand un résolveur DNS reçoit une réponse DNS signée, il utilise la clé publique de la zone parent pour vérifier la signature. Si la signature est valide, la réponse est acceptée comme authentique.
Les transactions
- Saisie de la requête initiale : Vous tapez www.example.com dans votre navigateur.
- Envoi de la requête au résolveur DNS : Le résolveur DNS envoie une requête pour www.example.com.
- Renvoi d’une réponse signée : Le serveur DNS de example.com renvoie une réponse avec un enregistrement RRSIG et les clés DNSKEY.
- Validation de la transaction : Le résolveur DNS utilise la clé publique de la zone parent (.com) pour vérifier l’enregistrement DS de example.com, puis utilise la clé publique de example.com pour vérifier l’enregistrement RRSIG.
- Accréditation : Si toutes les vérifications sont correctes, le résolveur DNS sait que la réponse est authentique et renvoie l’adresse IP correcte à votre navigateur.
Les points d'attention
- Changez les clés régulièrement : Pour garder la sécurité à jour, il faut régulièrement créer de nouvelles clés et les publier.
- Vérifiez les signatures : Les signatures ont une durée de vie limitée et doivent être renouvelées avant d’expirer.
- Vérifiez la compatibilité : Assurez-vous que les résolveurs DNS (les serveurs qui répondent aux requêtes DNS) utilisés par vos utilisateurs supportent DNSSEC.
- Acceptez la complexité du système : DNSSEC ajoute un peu de complexité à la gestion DNS. Une mauvaise configuration peut entraîner des problèmes de résolution de noms de domaine (le site est alors inaccessible).
- Surveillez votre site : Mettez en place des solutions pour surveiller DNSSEC et détecter rapidement les problèmes.
Comment installer ou activer DNSSEC ?
Pour activer DNSSEC sur votre domaine, commencez par vous connecter auprès de votre fournisseur de services DNS (ou Registrar en anglais), tel que Gandi, Infomaniak, ou OVH. Accédez ensuite à la gestion DNS de votre domaine, cherchez l’option DNSSEC et activez-la.
Généralement, les fournisseurs de services DNS prennent en charge la génération et la gestion des clés DNSSEC de manière automatique, rendant le processus simple pour les utilisateurs. Toutefois, après avoir activé DNSSEC, il est essentiel de vérifier la propagation et de surveiller régulièrement l’état des enregistrements pour garantir une protection continue. Il est donc recommandé d’utiliser DNSSEC avec un système de monitoring.
Pour des configurations spécifiques, comme avec Cloudflare, l’activation de DNSSEC comporte des étapes supplémentaires qui sont généralement documentées par les fournisseurs de services DNS. Comme ici pour Infomaniak.
Dans cet exemple encore, après avoir activé DNSSEC, Cloudflare a généré des enregistrements DNSSEC (DS records) qu’il faudra soumettre à votre fournisseur de services DNS. Ce qui permettra d’établir la chaîne de confiance.
Comment vérifier mon site ?
Pour le tester ou vérifier sa bonne installation, rien de plus simple. Il suffit de renseigner votre nom de domaine sur le DNSSEC Debugger de Verisign. Si tous les contrôles sont verts, votre site est protégé.
Conclusion
DNSSEC est un outil puissant pour améliorer la sécurité du DNS en garantissant l’intégrité et l’authenticité des réponses DNS. Bien que son déploiement puisse être complexe et nécessiter une gestion rigoureuse, les avantages en termes de sécurité pour les utilisateurs finaux sont significatifs. Une mise en œuvre correcte de DNSSEC contribue à un Internet plus sûr et plus fiable.
Un nouveau site pour l’asbl Premisse Nous avons le plaisir de vous présenter le site de l'asbl Premisse, une association bruxelloise qui accompagne les personnes fragilisées ou en difficulté.
Protégez-vous des usurpations ! Les attaques "Man-in-the-Middle" visent vos clients et vos données, restez vigilants et mettez tout en oeuvre pour les éviter.
