Grâce à l'adoption généralisée de fournisseurs d'hébergement Internet du DNSSEC, 2015 est peut-être l'année où nous allons atteindre le « genou » de la courbe des bénéfices du DNSSEC. Le DNSSEC ajoute des dossiers cryptographiques (aussi appelés signatures numériques) à côté des archives DNS existantes pour s'assurer que les utilisateurs finaux puissent détecter tout changement pendant le processus de résolution de noms de domaine. La protection cryptographique est appelée « signature ».
La racine du DNS a été signée en 2010. [1]. Suivant le récent processus de déploiement rapide du DNSSEC, plus de 78 % des TLD sont désormais signés [2], et un nombre croissant d'utilisateurs finaux sont en cours de validation [3], les recherches du DNS : les mesures actuelles montrent une validation de 12 % à travers le monde, 25 % aux USA et 62 % en Suède. [4]. Les dernières mesures sont importantes et prometteuses : lorsque les utilisateurs finaux « valident » que ces dossiers DNS sont signés, ils se protègent eux-mêmes de manière efficace contre les modifications non-autorisées et les attaques tel que l'empoisonnement de cache. [5].
L'infrastructure Internet est en bonne voie pour soutenir pleinement le DNSSEC. Cependant, pour que le DNSSEC soit efficace, les noms de domaine doivent également être signés. C'était un objectif difficile à atteindre avec seulement quelques 2-3 % de noms signés. Ce faible rythme d'adoption pourrait bientôt changer. Le fournisseur de contenu Internet et d'hébergement du DNS CloudFare [6] a annoncé qu'il allait déployer le DNSSEC à travers sa plateforme. La hausse visible anticipée des sites Internet signés au sein du DNSSEC suivant le déploiement de Cloudflare devrait entraîner un bon du nombre d'utilisateurs finaux, de fournisseurs de contenu et d'innovateurs [7] bénéficiant du DNSSEC. Plus d'utilisateurs vont bénéficier de la validation et la concurrence peut conduire plus de fournisseurs principaux au DNSSEC également.
Comment peut-on maintenir cette dynamique ?
Les avantages du DNSSEC ne seront complètement réalisés qu'après un déploiement massif. Il est donc important pour nous de continuer à poursuivre les efforts de sensibilisation du DNSSEC comme une étape dans la sécurisation d'Internet. En tant que membre de la communauté, je suis fier de dire que nous avons jouer un rôle important jusqu'à présent. Maintenons cette pression.
Dr. Richard Lamb
Gestionnaire principal de Programme, DNSSEC
ICANN
[1] La signature de la zone racine est un effort commun avec la communauté et nos partenaires de gestion de la zone racine.http://www.root-dnssec.org/
[2] Statistiques DNSSEC TLD.https://rick.eng.br/dnssecstat/
[3] Si un nom de domaine est signé, les réponses des demandes de recherche du DNS sont validées (vérifiées en cas de modifications inattendues, ce qui pourrait indiquer une attaque) par vos FSI, votre entreprise ou un résolveur du DNS personnel. Par conséquent, l'augmentation continue du nombre d'utilisateurs qui s'appuient sur un résolveur DNSSEC actif est essentielle.
[4] Statistiques de résolveur de validation DNSSEC. http://gronggrong.rand.apnic.net/cgi-bin/worldmap
[5] Empoisonnement de cache http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html
[6] https://blog.cloudflare.com/help-us-test-our-dnssec-implementation/
[7] Avec le DNSSEC, le DNS devient une base de données sécurisée mondiale pour la distribution de dossiers DNS plus que standards. Cela a stimulé ceux qui cherchent à améliorer la sécurité d'Internet et l'Internet des objets. P.ex., DANE http://www.internetsociety.org/deploy360/resources/dane/