Presque toutes les communications Internet commencent par une consultation du système de noms de domaine (DNS). Le DNS est une pièce essentielle de l’infrastructure de l’Internet qui traduit les noms compréhensibles par l’être humain (internetsociety.org) en nombres informatiques (2001:41c8:20::b31a).
Comme beaucoup d’autres composants de l’Internet, le DNS a commencé sans aucune fonction de sécurité dans un paysage Internet très différent. Aujourd’hui, la sécurité et la fiabilité sont des fondements essentiels pour l’évolution et la croissance continues d’un Internet robuste qui profite aux utilisateurs du monde entier. Les extensions de sécurité DNS (DNSSEC) ont été développées pour fournir un niveau de sécurité supplémentaire en utilisant des techniques cryptographiques pour valider l’authenticité des informations DNS.
Nous avons écrit à plusieurs reprises sur le déploiement des DNSSEC dans les domaines de premier niveau de code pays (ccTLD) l’année dernière. Dans ces articles, nous avons attiré l’attention sur le déploiement de DNSSEC dans les services ccTLD pour Fidji, Bahreïn, Chypre, l’Ouzbékistan, la Libye et la Micronésie. Si l’on considère l’année 2021 dans son ensemble, il y a eu un total de huit déploiements de DNSSEC ccTLD, ce qui signifie que nous devons en mentionner deux autres : l’île Bouvet (.bv) et la Dominique (.dm).
L’île Bouvet est une dépendance norvégienne et possède son propre domaine de premier niveau, .bv. Norid est le registre du domaine .bv depuis 1997.
Citation de la page web du NIC .bvLe domaine de premier niveau .bv n’a jamais été ouvert à l’enregistrement de noms de domaine. Si cette politique devait être modifiée ultérieurement, Norid procédera à une évaluation minutieuse et à une analyse des conséquences de la question avant de décider de tout changement. Norid ne donnera ni ne vendra ce domaine de premier niveau.” Malgré sa non-disponibilité pour les enregistrements, il est agréable de voir qu’il est maintenant entièrement compatible avec les DNSSEC si cette politique venait à changer.
D’après la page web du NIC .dm, “En février 2021, une nouvelle opportunité s’est présentée et le registre DotDM s’est associé à Uniregistry UNR en tant que fournisseur du service de backend du registre. Le travail de déploiement de DNSSEC pour la signature et la validation des noms de domaine .dm a commencé et a été finalisé le 1er décembre 2021.”
Les domaines .bv et .dm rejoignent 142 autres domaines ccTLD qui sont entièrement compatibles avec les DNSSEC. Il y a 104 domaines ccTLD qui n’ont pas encore activé pleinement les DNSSEC. Ces domaines non signés sont plus vulnérables à divers types d’attaques pouvant entraîner un déni de service pour les titulaires de noms de domaine, la manipulation de données et, ce qui est peut-être le plus inquiétant, le vol d’identifiants d’authentification.
La signature du domaine et l’installation de clés de sécurité dans la zone racine du DNS n’est qu’une première étape vers un déploiement plus large des DNSSEC, mais c’est une étape importante. Il est également essentiel d’inciter les titulaires de noms de domaine à signer leurs domaines, ainsi que d’encourager les FAI à activer la validation DNSSEC dans les résolveurs récursifs qu’ils fournissent à leurs abonnés.
Vous pouvez continuer à observer l’augmentation constante de l’adoption du DNSSEC par les ccTLD et l’adoption de la validation DNSSEC via notre page Pulse Enabling Technologies.
Photo par Robert Keane sur Unsplash