Sécurité des noms de domaine nationaux : bilan de l'année 2021

Photo of Mat Ford

Mat Ford

Technology Insights, Internet Society

Catégories:

Pratiquement toutes les communications Internet commencent par une recherche dans le système de noms de domaine (DNS). Le DNS est un élément essentiel de l'infrastructure de l'internet qui traduit les noms conviviaux (internetsociety.org) en nombres conviviaux (2001:41c8:20::b31a).

Comme beaucoup d'autres composants de l'internet, le DNS a commencé sans aucune caractéristique de sécurité dans un paysage internet très différent. Aujourd'hui, la sécurité et la fiabilité sont des fondements essentiels pour l'évolution et la croissance continues d'un internet robuste qui profite aux utilisateurs du monde entier. Les extensions de sécurité du DNS (DNSSEC) ont été développées pour fournir un niveau de sécurité supplémentaire en utilisant des techniques cryptographiques pour valider l'authenticité des informations du DNS.

L'année dernière, nous avons écrit à plusieurs reprises sur le déploiement des DNSSEC dans les domaines de premier niveau de code pays (ccTLD). Dans ces articles, nous avons attiré l'attention sur le déploiement des DNSSEC dans les services ccTLD pour Fidji, Bahreïn, Chypre, l'Ouzbékistan, la Libye et la Micronésie. Si l'on considère l'année 2021 dans son ensemble, il y a eu au total huit déploiements de DNSSEC dans les ccTLD, ce qui signifie que nous devons en mentionner deux autres - l'île Bouvet (.bv) et la Dominique (.dm).

L'île Bouvet est une dépendance norvégienne et possède son propre domaine de premier niveau, .bv. Norid est le registre du .bv depuis 1997.

Selon la page web du NIC .bv, "Le domaine de premier niveau .bv n'a jamais été ouvert à l'enregistrement de noms de domaine. Si cette politique devait être modifiée ultérieurement, Norid procédera à une évaluation minutieuse et à une analyse des conséquences avant de décider d'un quelconque changement. Norid ne donnera ni ne vendra ce domaine de premier niveau". Malgré sa non-disponibilité pour les enregistrements, il est agréable de voir qu'il est maintenant entièrement compatible avec le DNSSEC, au cas où cette politique changerait.

Selon la page web du NIC .dm, "En février 2021, une nouvelle opportunité s'est présentée et le registre DotDM s'est associé à Uniregistry UNR en tant que fournisseur du service de backend du registre. Le travail de déploiement de DNSSEC pour la signature et la validation des noms de domaine .dm a commencé et a été finalisé le 1er décembre 2021."

.bv et .dm rejoignent 142 autres domaines ccTLD qui sont entièrement compatibles avec le DNSSEC. Il reste 104 domaines ccTLD qui n'ont pas encore pleinement activé le DNSSEC. Ces domaines non signés sont plus vulnérables à divers types d'attaques qui pourraient entraîner un déni de service pour les titulaires de domaines, une manipulation des données et, ce qui est peut-être le plus inquiétant, le vol des informations d'authentification.

La signature du domaine et l'installation des clés de sécurité dans la zone racine du DNS ne constituent qu'une première étape vers un déploiement plus large du DNSSEC, mais c'est une étape importante. Il est également essentiel d'inciter les titulaires à signer leurs domaines et d'encourager les FAI à activer la validation DNSSEC dans les résolveurs récursifs qu'ils fournissent à leurs abonnés.

Vous pouvez continuer à observer l'augmentation constante de l'adoption des DNSSEC par les ccTLD et l'adoption de la validation des DNSSEC via notre page Pulse Enabling Technologies.

Photo de Robert Keane sur Unsplash

Tags: