Le système des noms de domaine (DNS) remonte au début des années 80. En dépit de son âge, il a remarquablement évolué et reste un élément fondamental de l’Internet d’aujourd’hui. Toutefois, la façon dont le DNS délègue l’autorité administrative d’un domaine parent (tel que .org) à un domaine enfant (tel que example.org) n’a pas changé depuis la création du DNS. Une prochaine amélioration apportée au DNS modifiera la façon dont la délégation est indiquée et permettra la mise en place de nouvelles fonctionnalités, telles que des mécanismes de renforcement de la sécurité.
L’introduction d’extensions de sécurité du DNS (DNSSEC) a constitué une étape fondamentale, mais elle ne permet pas de chiffrer le trafic du DNS. Historiquement, les données du DNS étaient considérées comme publiques, et les requêtes étaient supposées ne pas en révéler beaucoup sur les utilisateurs. Ce raisonnement s’est avéré être bien trop simpliste. En réalité, le trafic du DNS non chiffré permet à la fois une surveillance et une manipulation.
Il est facile de chiffrer la communication entre applications et résolveurs, mais le faire entre résolveurs et serveurs faisant autorité crée des difficultés relevant du problème de l'œuf et de la poule : comment un résolveur prend-il connaissance des paramètres de sécurité requis avant la connexion ?
Aujourd’hui, la seule information qu’un serveur faisant autorité fournit pour une délégation concerne les noms des serveurs responsables du niveau supérieur dans la hiérarchie et, avec les DNSSEC, un indicateur de la clé cryptographique nécessaire pour valider les réponses.
Une nouvelle amélioration du DNS en cours de développement par le Groupe de travail de génie Internet (IETF) permet d’inclure, dans le cadre de la délégation, des informations supplémentaires. Dans le cas du DNS chiffré, ces informations supplémentaires pourraient comprendre des paramètres cryptographiques et liés au protocole qu’un résolveur peut utiliser afin d’établir un canal sécurisé vers les serveurs de noms délégués. Pour apporter un tel changement significatif du fonctionnement de la délégation du DNS, il convient de procéder, comme au bon vieux temps, à une ingénierie des protocoles. De fait, ce travail est effectué par l’IETF dans le cadre du Groupe de travail DELEG.
Il ne s’agit pas d’un exercice aisé. Ces nouvelles extensions de délégation (appelées « DELEG ») nécessitent de procéder à des ajouts au fondement du protocole DNS, tout en restant compatibles avec la base installée de façon à pouvoir assurer un déploiement graduel. De plus, ces nouvelles extensions de délégation doivent être pérennes afin que des éléments supplémentaires puissent être facilement ajoutés, sans que le protocole ne doive être modifié.
Si le DNS doit continuer à faire office de fondement résilient et fiable pour Internet, son modèle de délégation doit évoluer en tenant compte du modèle de menace actuel. L’extension des délégations de sorte à transmettre les informations requises pour une communication chiffrée entre résolveur et serveur faisant autorité constitue la prochaine étape logique. L’extension du protocole DELEG préserve les atouts du système existant tout en assurant un avenir plus sécurisé et flexible.
Les travaux actuellement menés par le Groupe de travail DELEG donnent la possibilité de moderniser l’une des parties les plus anciennes de l’architecture du DNS. En s’ouvrant à ces changements, la communauté du DNS peut garantir que le protocole demeure robuste non seulement pour les applications d’aujourd’hui, mais également pour les générations de technologies et d’utilisateurs qui se reposeront par la suite sur lui.

