Continuer vers le site principal
Accueil DNSSEC

DNSSEC

(également Domain Name System Security Extensions)

Définition de DNSSEC

DNSSEC est un ensemble d'améliorations apportées au système de noms de domaine (DNS) qui offre un niveau de sécurité supplémentaire. Le fait de permettre aux réponses DNS d'être signées numériquement garantit l'authenticité et l'intégrité des informations. DNSSEC défend les utilisateurs contre les attaques liées au DNS, telles que le cache poisoning et les attaques de type « man-in-the-middle », en empêchant l'altération des données DNS pendant leur transit. Bien que DNSSEC n'assure pas la confidentialité des données, il se concentre principalement sur le maintien de l'exactitude et de l'authenticité des données.

Exemples de DNSSEC

  • Attaque de cache poisoning : un attaquant exploite les vulnérabilités du système DNS pour insérer des données malveillantes dans le cache d'un résolveur DNS, redirigeant ainsi les utilisateurs vers un site web frauduleux.
  • Attaque de type « Man-in-the-middle » : un attaquant intercepte les requêtes DNS et modifie les réponses, redirigeant les utilisateurs vers un site contrôlé par l'attaquant ou surveillant l'activité de l'utilisateur.

DNSSEC et DNS over HTTPS (DoH)

DNSSEC vise à garantir l'intégrité et l'authenticité des données DNS, tandis que DoH est un protocole chiffré qui sécurise les requêtes et les réponses DNS avec HTTPS, en assurant à la fois l'intégrité et la confidentialité.

Avantages et inconvénients de DNSSEC

Avantages :

  • Renforce la sécurité du DNS en protégeant contre le cache poisoning et les attaques de type « man-in-the-middle ».
  • Augmente la confiance dans le système DNS.
  • Prend en charge divers algorithmes cryptographiques.

Inconvénients :

  • Complexité accrue de la gestion et de la configuration du DNS.
  • Nécessite une adoption généralisée pour une efficacité maximale.
  • Peut entraîner une dégradation des performances en raison d'un traitement supplémentaire.

Bonnes pratiques DNSSEC

  • Activez le DNSSEC sur le panneau de contrôle de votre registraire de domaine.
  • Conservez vos clés DNSSEC en toute sécurité et mettez-les régulièrement à jour.
  • Contrôlez et validez les signatures DNSSEC pour vous assurer qu'elles sont correctes.

Pour en savoir plus