DNS était conçu il y a plus de 30 ans, à l'époque où la sécurité était l'objectif principal d'Internet. Sans protection supplémentaire, il est possible pour les attaquants MITM d'usurper des enregistrements et de diriger les utilisateurs vers des sites de phishing. DNSSEC met un terme à cela, et il est facile à activer.
DNS par lui-même n'est pas sécurisé
Le système DNS n'inclut aucune méthode intégrée pour vérifier que la réponse à la demande n'a pas été falsifiée ou qu'aucune autre partie du processus n'a été interrompue par un attaquant. C'est un problème car chaque fois qu'un utilisateur souhaite se connecter à votre site Web, il doit effectuer une recherche DNS pour traduire votre nom de domaine en une adresse IP utilisable. Si l'utilisateur se connecte à partir d'un endroit non sécurisé, comme un café, il est possible pour des attaquants malveillants de s'asseoir au milieu et d'usurper les enregistrements DNS. Cette attaque pourrait leur permettre de rediriger les utilisateurs vers une page malveillante en modifiant l'enregistrement de l'adresse IP A.
Heureusement, il existe une solution DNSSEC, également connue sous le nom d'extensions de sécurité DNS, résout ces problèmes. Il sécurise les recherches DNS en signant vos enregistrements DNS à l'aide de clés publiques. Avec DNSSEC activé, si l'utilisateur reçoit une réponse malveillante, son navigateur peut le détecter. Les attaquants ne disposent pas de la clé privée utilisée pour signer les enregistrements légitimes et ne peuvent plus faire passer pour un faux.
La signature des clés de DNSSEC va tout au long de la chaîne. Lorsque vous vous connectez à example.com, votre navigateur se connecte d'abord à la zone racine DNS, gérée par l'IANA, puis au répertoire de l'extension (.com, par exemple), puis aux serveurs de noms de votre domaine. Lorsque vous vous connectez à la zone racine DNS, votre navigateur vérifiera la clé de signature de la zone racine gérée par l'IANA pour vérifier qu'elle est correcte, puis la clé de signature du répertoire .com (signée par la zone racine), puis la clé de signature de votre site , qui est signé par le répertoire .com et ne peut pas être falsifié.
Il convient de noter que dans un avenir proche, cela ne posera plus autant de problème. Le DNS est déplacé vers HTTPS, ce qui le protégera contre toutes sortes d'attaques MITM, rendra DNSSEC inutile et empêchera également les FAI d'espionner votre historique de navigation, ce qui explique pourquoi Comcast fait pression contre lui. Dans l'état actuel des choses, il s'agit d'une fonctionnalité facultative dans Chrome et Firefox (avec la prise en charge du système d'exploitation bientôt dans Windows), vous souhaiterez donc toujours activer DNSSEC en attendant.
Comment activer DNSSEC
Si vous exécutez un site Web, en particulier un site Web qui gère les données des utilisateurs, vous souhaiterez activer DNSSEC pour empêcher tout vecteur d'attaque DNS. Il n'y a aucun inconvénient à cela, à moins que votre fournisseur DNS ne le propose uniquement en tant que “premium” fonctionnalité, comme le fait GoDaddy. Dans ce cas, nous vous recommandons de passer à un fournisseur DNS approprié, comme Google DNS, qui ne vous paiera pas pour une sécurité de base. Vous pouvez lire notre guide d'utilisation ici, ou en savoir plus sur le transfert de votre domaine.
Publicité
Si vous utilisez Google Domains, la configuration se fait littéralement en un seul bouton, qui se trouve dans la console du domaine sous “DNS” dans la barre latérale. Cochez “Activer DNSSEC.” Cela prendra quelques heures pour compléter et signer toutes les clés requises. Google Domains prend également entièrement en charge DNS sur HTTPS, de sorte que les utilisateurs qui l'ont activé seront entièrement sécurisés.
< p>Pour Namecheap, cette option est également juste une bascule sous “Advanced DNS” dans les paramètres du domaine, et est entièrement gratuit :
Si vous utilisez AWS Route 53, elle, malheureusement, ne prend pas en charge DNSSEC. Il s'agit d'un inconvénient nécessaire des fonctionnalités DNS élastiques qui le rendent excellent en premier lieu : des fonctionnalités telles que les enregistrements Alias, l'équilibrage de charge au niveau DNS, les vérifications de l'état et le routage basé sur la latence. Étant donné que Route 53 ne peut pas raisonnablement signer ces enregistrements à chaque fois qu'ils changent, DNSSEC n'est pas possible. Cependant, si vous utilisez vos propres serveurs de noms ou un autre fournisseur DNS, il est toujours possible d'activer DNSSEC pour les domaines enregistrés à l'aide de Route 53, mais pas les domaines utilisant Route 53 comme service DNS.