Toute l'actualité des noms de domaine et nouveaux gTLDs

Archives de mots clés: dnssec

Bientôt .uk au lieu de .co.uk?

Nominet, le gestionnaire du domaine de top level britannique .uk, entend proposer en plus des domaines de deuxième niveau traditionnels tels .co.uk, .org.uk et .me.uk, désormais aussi le plus concis .uk. De petites entreprises pourraient alors enregistrer www.naam.uk au lieu de l’habituel www.naam.co.uk.

Bientôt, les Britanniques pourront supprimer le .co de leurs noms de domaine car le gestionnaire des noms de domaine Nominet envisage d’introduire le plus concis .uk, certes moyennant un supplément (20 livres pour 1 an de .uk contre 5 livres pour 2 ans de .co.uk). De plus, les candidats devraient pouvoir prouver qu’ils sont établis en Grande-Bretagne.

Nominet va déjà organiser une phase de consultation de trois mois (jusqu’au 7 janvier). Durant cette période, entreprises et particuliers pourront faire connaître leurs objections et leurs remarques à propos de la proposition. Celle-ci pourrait faire froncer les sourcils des entrepreneurs, du fait qu’ils devront déjà bientôt enregistrer leur nom sous pas mal de nouvelles extensions internet.

A présent que le gestionnaire du système de noms de domaine Icann a ouvert l’espace des noms de domaine de top level, des centaines de nouvelles extensions internet viendront en effet sous peu s’ajouter. L’initiative de Nominet est cependant tout à fait indépendante de ce qui précède.

Pour les 20 livres dont il est question, les candidats recevraient encore quelques extras. C’est ainsi que les sites seraient chaque jour scannés à la recherche de malware (maliciels) et que les adresses .uk seraient protégées avec le protocole de sécurité DNSSEC. Les revenus supplémentaires seraient alors réinjectés dans une fondation indépendante investissant dans l’amélioration de l’accès à internet et dans la sécurité.

Structure

Le fait que les adresses internet britanniques se terminent traditionnellement par .co.uk, .net.uk, .gov.uk ou .ac.uk au lieu du plus concis .uk, est historique, selon Marc Van Wesemael, directeur général d’EURid, le gestionnaire du domaine de top level européen .eu. “Au début, les domaines de haut niveau ont été subdivisés en catégories, telles .com pour les organisations commerciales et .gov.”

Avec l’extension d’internet, beaucoup de pays ont cependant migré vers les codes nationaux de type .be ou .nl. “Les Britanniques ont associé la structure des gTLD à leur code national”, ajoute-t-il encore, “ce qui fait que l’on obtient à présent des noms de domaine se terminant par .co.uk et .org.uk. La Pologne a connu quelque chose de similaire. L’on y trouve aussi nombre de domaines de deuxième niveau tels .com.pl ou .net.pl.”

Source: datanews.levif.be

Plus d’1,3 million de noms de domaine .be

DNS.be, le gestionnaire du domaine de top level belge .be, a passé il y a quelques jours le cap des 1,3 million de noms de domaine .be. “2012 sera une bonne année au niveau des enregistrements”, déclare son directeur général Philip Du Bois.

Entre-temps, 1.306.460 noms de domaine .be ont été enregistrés auprès du gestionnaire du domaine belge. Le cap des 1,3 million a été franchi il y a quelques jours. Pour vous donner une idée, le seuil du million avait été passé en 2010.

Ces 30 derniers jours, 18.000 nouveaux noms ont été enregistrés dans la base de données. “Ce n’est pas tellement en soi car au cours des mois normaux, l’on peut enregistrer entre 20 et 23.000 nouveaux noms”, explique Du Bois. “En été, c’est toujours quelque peu plus calme.”

2012 promet cependant d’être une excellente année au niveau des nouveaux enregistrements. “En 2009 et 2011, la croissance était nettement moins forte. Sur ce plan, nous évoluons avec la crise économique. Si l’économie est en difficultés, notre croissance ralentit. Jusqu’à présent, 2012 est une bonne année pour l’économie internet, et cela se traduit par le nombre d’enregistrements de noms de domaine.”

DNSSEC
Ce qui est étonnant aussi, c’est le nombre de noms de domaine .be signés avec le protocole de sécurité DNSSEC. Il y en a entre-temps 22.000, soit quasiment 2 pour cent du total. “Depuis que 2 de nos plus importants agents proposent DNSSEC, cela commence à porter vraiment ses fruits”, ajoute encore Du Bois. “Ce n’est que depuis ces dernières semaines que l’on observe subitement autant de noms de domaine .be signés avec DNSSEC.”

DNSSEC introduit les ‘public key algoritmes’ dans le système des noms de domaine. Cela signifie qu’à chaque réponse donnée par DNS, une sorte de ‘signature’ numérique y est associée.

Les esprits malfaisants ne peuvent plus polluer la cache et orienter les surfeurs innocents vers des sites factices, parce que l’authenticité de l’information demandée est toujours vérifiée. Les internautes aboutissent donc en principe toujours à l’endroit recherché.

Source: datanews.levif.be

Sécurité IT : VeriSign fait entrer le « .com » dans l’ère du DNSSEC

Le registre VeriSign a mis en place le protocole sécurisé DNSSEC pour protéger les noms de domaine « .com ». Il doit permettre aux entreprises de se prémunir contre des attaques ciblant le DNS.

Le volume des attaques ciblant les serveurs DNS va t-il faiblir ?

C’est l’ambition de VeriSign, le registre américain qui gère l’extension « .com », en implémentant le protocole DNSSEC.

La société, pionnière de l’Internet, avait déjà mis en œuvre DNSSEC sur le « .net ».

Mais cette extension est une grande étape en termes de sécurisation des DNS au regard de l’exploitation du « .com » dans le monde (90 millions dans le monde).

Au total, plus de 25 extensions de noms de domaine sont désormais couvertes par la technologie DNSSSEC.

En France, le DNSSEC est une réalité depuis le deuxième semestre 2010. L’AFNIC a fourni des efforts de promotion dans ce sens.

« En arrivant à cette étape cruciale dans le déploiement de DNSSEC, VeriSign et la communauté de l’Internet ont fait d’énormes progrès dans la protection de l’intégrité des données DNS » , a déclaré Pat Kane, Vice-Président senior et Directeur Général des services de noms de domaine chez VeriSign.

Si le travail reste entier et l’adoption lente, la généralisation progressive de DNSSEC – considérée comme l’une des principales avancées depuis la création du World Wide Web – est un point crucial pour résoudre les problèmes de confiance sur l’Internet et ainsi œuvrer pour la protection des internautes.

Une enquête (Gartner ?) auprès de plus de 1000 responsables de la sécurité IT a démontré que la moitié n’étaient pas sûr de savoir ce qu’était DNSSec.

Seulement 5% ont mis en œuvre et 16% ont planifié une mise à niveau des systèmes d’ici l’année prochaine.

« Comme tout changement dans les grandes infrastructures, ce n’est pas quelque chose que vous mettez en place en quelques jours. Il faut compter au moins deux trimestres ou plus » , explique Lawrence Orans, directeur des recherches chez Gartner.

« Au fil du temps, nous allons sans doute voir beaucoup de sociétés qui vont offrir de nouveaux services pour rendre plus facile le passage à DNSSec ce qui devrait favoriser son adoption. »

Source: IT Espresso

VeriSign déploie les extensions de sécurité DNS dans la zone « .net »

VeriSign, Inc., fournisseur réputé de services d’infrastructure sur Internet pour le monde numérique, annonce aujourd’hui le déploiement de ses extensions de sécurité DNS (DNSSEC ) dans la zone « .net ».

Avec plus de 13 millions de noms de domaines enregistrés dans le monde, la zone « .net » est la plus importante à bénéficier du protocole DNSSEC. L’extension « .net » constituant le socle de nombreuses fonctions Internet critiques, la signature des domaines « .net » représente une étape cruciale dans la mise en œuvre de la technologie DNSSEC.

Pour authentifier l’origine des données et vérifier leur intégrité lors de leur transmission sur la Toile, le protocole DNSSEC applique des signatures numériques aux données DNS. Les extensions de sécurité sont conçues pour protéger les serveurs DNS des attaques visant à rediriger les requêtes vers des sites malveillants par corruption des données DNS stockées sur les serveurs récursifs. La mise en œuvre du protocole DNSSEC permettra de réduire considérablement le pouvoir de nuisance des pirates sur les données DNS. Les signatures numériques apposées à ces données DNS seront validées au travers d’une « chaîne de confiance ».

Cette extension à la zone « .net » marque une nouvelle étape décisive de la démarche suivie par VeriSign pour améliorer l’intégrité des communications et des transactions en ligne via l’implantation du DNSSEC sur l’ensemble de l’infrastructure DNS. La protection de la zone « .net » par DNSSEC permet à VeriSign d’intégrer les enregistrements DNSSEC provenant de bureaux d’enregistrement de noms de domaines dans son registre « .net » de référence. Fruit de plusieurs mois de tests volontaires et rigoureux sur le DNSSEC, cette nouvelle étape s’inscrit dans le prolongement du travail engagé un peu plus tôt cette année par VeriSign, en collaboration avec EDUCAUSE et le Ministère américain du commerce, sur l’implémentation du DNSSEC dans la zone « .edu ». VeriSign prévoit de signer la zone « .com » dans le courant du premier trimestre 2011.

L’exploitation du laboratoire d’interopérabilité DNSSEC par VeriSign est l’un des signes forts de la collaboration entre VeriSign et les acteurs de la communauté d’Internet autour du DNSSEC. Le laboratoire, où l’on retrouve des collaborateurs de VeriSign, apporte son soutien aux fournisseurs de solutions et de services qui veulent savoir si les paquets DNS contenant des informations DNSSEC – généralement plus volumineux que les paquets DNS standard – sont susceptibles de poser problème aux composants de leur infrastructure Internet et d’entreprise. Le laboratoire les accompagne dans l’audit de leur écosystème de communications Internet en vue d’une implémentation DNSSEC.

Les actions menées par VeriSign dans le domaine du DNSSEC cadrent également avec le projet Apollo – un projet porté par l’entreprise pour faire évoluer l’infrastructure DNS d’Internet en multipliant par mille ses niveaux actuels. Le but : pouvoir gérer un volume quotidien de requêtes estimé à 4 quadrillions en 2020. L’initiative Apollo s’inscrit dans le prolongement du projet Titan animé par VeriSign et dont l’objectif était de décupler l’infrastructure DNS par rapport aux niveaux de 2007. En capitalisant sur les réalisations de Titan, le projet Apollo devrait permettre à VeriSign de relever les défis infrastructurels d’Internet au cours de la prochaine décennie.

Source: Global Security Mag

L’Afnic renforce la sécurité du «.fr»

L’association française de nommage Internet déploie le nouveau protocole DNSSEC mieux sécurisé face aux attaques des serveurs DNS par empoisonnement de cache. Reste à convaincre les registrar et utilisateurs de l’adopter.

Comment sécuriser davantage les transactions en ligne? L’une des réponses s’appelle DNSSEC (Domain Name System Security Extensions ) que l’Afnic (Association française pour le nommage Internet en coopération) est en train de déployer dans la zone France (.fr) et Réunion (.re).

Cette nouvelle mesure de protection a été abordée suite à la découverte d’une faille dans le protocole DNS en 2008 par le chercheur en sécurité Dan Kaminsky. La vulnérabilité était susceptible de faire tomber le Web en menant une attaque par empoisonnement de cache. Une menace qui a mobilisé gouvernement et grands groupes à l’époque entraînant une prise de conscience sur la nécessité de déployer le protocole DNSSEC des acteurs de l’Internet (nommage, télécoms, hébergeurs…).

Un déploiement qui concerne en premier lieu les gestionnaires de serveurs DNS, les bureaux d’enregistrement et les FAI. Mais leur volontarisme est inégal, notamment en raison des coûts financiers inhérents. Ce qui est d’autant plus problématique que l’efficacité du protocole ne portera ses fruits qu’à travers une implication et une appropriation globale de tous les acteurs. « Une attaque par empoisonnement de cache est toujours possible. On considère que 20 à 25% des serveurs dans le monde ne bénéficient pas d’une vraie mise à jour de sécurité », Mathieu Weill, directeur général de l’Afnic selon des propos cités par ITespresso.fr.

Rappelons que le DNSSEC n’est pas une nouveauté technique. L’IETF (Internet Engineering Task Force) l’a scruté dès 1995 et la Suède s’est montrée précurseur dans son adoption en 2007. Puis des pays comme la Bulgarie, le Brésil ou le Porto-Rico ont suivi… L’Afnic suit aujourd’hui le mouvement d’adoption devenu «mainstream», selon Mathieu Weill. A ce jour, une quinzaine de registres ont déjà signé leurs zones… « Toutes les extensions nationales devraient signer cette année », estime le directeur. La racine elle-même du DNS (gérée par l’ICANN et VeriSign) a été signée en juillet 2010. L’an prochain, ce sera au tour du plus générique des noms de domaine : «.com» (90 millions dans le domaine) alors que la conversion DNSSEC du «.org» a été effectuée en 2009.

Au tour, donc, de l’Afnic d’agir. Le 14 septembre dernier, le déploiement de DNSSEC en France a débuté avec la signature du «.fr» et du «.re». Prochainement, la clé publique de chiffrement associée au «.fr» sera publiée dans les serveurs racines. Ce qui bouclera la procédure technique. Mais, pour l’association de nommage, le plus gros effort reste à venir : informer le grand public, vulgariser, former les administrateurs de gestion DNS (FAI, hébergeurs, centres de bureau d’enregistrement…). « Ce n’est pas obligatoire de déployer le DNSSEC mais nous estimons que c’est une responsabilité à chaque niveau », précise Mathieu Weill. Pour faciliter l’appréhension, l’organisme proposera bientôt la version 3 de ZoneCheck, son outil de test de configuration DNS (logiciel libre sous licence GPL et gratuit).

Quel sera le coût de déploiement de DNSSEC pour gestionnaire de DNS? « Le budget sera variable. La fourchette de prix variera en fonction du degré de maîtrise escompté, explique Mathieu Weill, à l’Afnic, on ne fera pas payer une empreinte de clé dans notre système. » Les bureaux d’enregistrement de noms de domaine pourront cependant répercuter le coût de mise à jour sur la facture de leurs clients.

Source: Silicon.fr

L’AFNIC évangélise sur le DNSSEC

L’organisation en charge de l’enregistrement des .fr va initier le déploiement de DNSSEC. Ce protocole de sécurité devrait progressivement s’intégrer auprès des hébergeurs, des FAI, etc.

L’idée n’est pas récente, la sécurisation des systèmes des noms de domaine a commencé à poindre son nez en 1995 lors de travaux au sein de l’IETF. A cette époque, le DNS était émis par un « serveur faisant autorité » comme par exemple ceux de l’AFNIC pour être reconnu par les serveurs résolveurs (ceux des FAI en général). L’objectif de ce système est d’authentifier le bon service, comme amazon.fr ou lemondeinformatique.fr. Les notions de sécurisations sont apparues avec la découverte par un chercheur, Dan Kaminsky, en 2008 d’une faille sur le DNS. Il a en effet trouvé une méthode, l’empoisonnement de cache, pour dériver le flux d’informations entre les deux serveurs cités précédemment et récupérer ainsi des données critiques.

Fort de ce constat, la mise en oeuvre du protocole DNSSEC (Domain Name System Security Extensions) est devenue un élément essentiel de la sécurisation du système. Ces extensions reposent sur des mécanismes de signature cryptographique asymétrique pour authentifier les enregistrements. Mathieu Weil, directeur général de l’AFNIC concède que « ce protocole entraîne des investissements dans les boîtiers cryptographiques et augmente la taille des messages, ainsi que du nombre d’échanges pour vérifier les signatures ». Concrètement, les organisations en charge des noms de domaine sont toutes progressivement en phase de signature de leur extension de sécurité. Pour l’AFNIC, le.fr a été signé le 14 septembre. L’organisme va donc assister les différents acteurs des noms de domaine (bureaux d’enregistrement, FAI, hébergeur, etc.) pour déployer DNSSEC. Des formations, ainsi que des dossiers thématiques sur le sujet et un logiciel gratuit ZoneCheck, qui prend en compte les DNSSEC vont être mis à disposition de cette communauté.

En ce qui concerne le prix de cette sécurisation, Mathieu Weil se veut rassurant « la sécurité a un coût, mais l’expérience suédoise pionnière en la matière montre que les hébergeurs ou les bureaux d’enregistrements intégreront cette option sans surcoût. Pour autant, comme dans d’autres activités informatiques, il faut s’attendre à un spectre tarifaire assez large ». L’AFNIC entend bien prendre son bâton de pèlerin pour professer les vertus du DNSSEC, même si son dirigeant s’attend à ce que cela soit progressif.

Source: LMI.fr

AFNIC – Actualités des opérations – SIGNATURE DNSSEC .fr & .re

Nous avons le plaisir de vous annoncer que les TLDs .fr et .re sont maintenant signés avec les extensions de sécurité du DNS (DNSSEC).

Clés et algorithme :

  • KSK :
    • Taille 2048 bits
    • Algorithme RSA/SHA2 (256)
    • Durée de vie 2 ans
  • ZSK :
    • Taille 1024 bits
    • Algorithme RSA/SHA2 (256)
    • Durée de vie 3 mois

Signature du déni d’existence :

  • NSEC3 + opt-out :
    • Sel 32 bits
    • 1 itération

La KSK de .fr

fr.     3600    IN      DNSKEY  257 3 8
AwEAAYz/bZVFyefKTiBBFW/aJcWX3IWHc8iI7Wi01mcZNHGC+w5EszmtHcsK/ggIu+V7lnJlHcamTNstxnSl4DAzN2Mgzux7sqd7Jlqa+BtRoI9MO3l2yi+qE6WIViUS0U3atm+l1SQsAgkyXlYBN52Up1jsVZ+FNt+kKGKzvIMo8/qM3mCYxkLhazj+q4Bg7bH+yNhHOaZ5KAiFO++8wZJK2rwrh2Yd5LP+smStJoij42sYALLA9WPdeiSaoxpbjmpYBUQAoDUYdqLnRWOnQds0O1EO5h1PXGSIt9feZpwNbPzTfHL80q2SI1A7qRzfZ6BzA2jZU4BLCv2YhKCcWo3kfbU=
;{id = 1336 (ksk), size = 2048b}

La KSK de .re

re.     3600    IN      DNSKEY  257 3 8
AwEAAajCmbZgQHhdh2O2CNV4akXVEraLgnTRWeK4HxIxDGlP7stUIip5E8ND08TCFea6JcHklmR6mShrTYEMmVAAB5+qFBDbTSKzpUdYHWnTl+4QyxX5WG3OWRXseaaKBnFw44fnRLCiUCnBmUK0Hdy71nWgQfY/378YSFpCAiRbNOX38LSHDVR+eZFjIw3mdL4i0JqVZL8bEwaaFEivw2Oavfeuy+wCg1VcTxLP5+YS9wLbeNvF4G0SzF/qZ8YOPQIywA6MwDjHSWF9eL0iceVBBlDpiGZp20QodzP2Pe3g4VRBmObUGEu1n4e1TEomytTfxAe7xpmsK9dmYpYXRB4edhk=
;{id = 45706 (ksk), size = 2048b}
Le service des opérations

DNS.be signe la zone racine .be avec DNSSEC

Le gestionnaire de domaines belge DNS.be va signer cette semaine la zone racine .be avec le protocole de sécurisation DNSSEC. L’introduction de ce nouveau standard de protection est considérée comme une étape importante dans la lutte contre le hameçonnage (phishing).

Depuis que l’expert en sécurité Dan Kaminsky a signalé il y a plus de deux ans au monde entier une sérieuse brèche dans DNS, il se fait que seul DNSSEC offre une solution plus ou moins hermétique à la défense de l’intégrité du système des noms de domaine (DNS). DNSSEC sera même obligatoire avec les nouvelles extensions internet qui nous arriveront très bientôt.

Ce nouveau standard de sécurisation introduit ce qu’on appelle les ‘public key algoritmes’ dans le système des noms de domaine. En clair, cela signifie qu’à chaque réponse donnée par DNS, une sorte de signature numérique y sera associée. Les malfaiteurs sur le net ne pourront donc plus ni polluer la cache ni orienter les surfeurs ne soupçonnant rien vers des sites factices, parce que l’authenticité de l’information demandée sera toujours vérifiée. Les internautes aboutiront donc en principe toujours à l’endroit recherché.

Les utilisateurs finaux qui souhaitent enregistrer un nom de domaine .be protégé par DNSSEC, resteront cependant encore un peu sur leur faim. “Actuellement, nous n’avons signé que notre infrastructure de serveurs de données, même si nous avons prévu aussi une plate-forme test pour nos agents”, déclare le directeur général de DNS.be, Philip Du Bois.

Plus tard cette année, probablement fin septembre, les utilisateurs finaux pourront également solliciter un nom de domaine .be sécurisé. “D’ici là, nous aurons complètement mis à jour notre système d’enregistrement, et nos agents pourront eux aussi proposer DNSSEC. Avec cette approche en phases, nous suivons du reste l’exemple des Pays-Bas.”

Investissements
Comme chaque nom de domaine devra être pourvu d’une clé numérique, le processus d’enregistrement deviendra nettement plus complexe. “Nous nous attendons à ce que le fichier-racine dans lequel les noms de domaine sont stockés, devienne huit fois plus volumineux”, explique Du Bois. “Et la vitesse d’accès aux serveurs devra également être augmentée. Heureusement, notre parc des machines est déjà prêt. Dans un premier temps, nous n’envisageons donc pas d’investissements supplémentaires.”

En fait, le déploiement de DNSSEC chez DNS.be était prévu dès 2009. “C’est exact”, répond Du Bois. “Mais l’on n’est pas à quelques mois près. C’est même une bonne chose que nous ne soyons pas les premiers: nous avons tiré les leçons des erreurs des autres. En outre, la chaîne doit être complètement fermée. Tous les maillons du processus d’enregistrement doivent être signés, sinon, cela n’a aucun sens.”

“L’Icann n’a signé les zones racines avec DNSSEC qu’il y a quelques semaines, et il y a encore beaucoup d’agents qui doivent encore être convaincus. Si deux parties sur cinq travaillent avec le nouveau standard, l’utilisateur n’en tirera rien. Autrement dit, si les registrars ne collaborent pas, cela ne marchera pas.”

Source: datanews.rnews.be

Sécurité : l’ICANN se charge d’authentifier les sites Web

L’ICANN, associé à VeriSign, va déployer son système DNSSEC destiné à attribuer une signature numérique unique et cryptée à chaque adresse Web, afin d’éviter la création de faux sites Internet.

L’ICANN veut s’attacher à sécuriser la navigation des internautes. L’Internet Corporation for Assigned Names and Numbers, l’organisation en charge du nommage sur Internet et de la gestion des noms de domaines en .com, .org et .net, a mis au point un nouveau système fin d’éviter le détournement frauduleux de sites Web par des cyber-criminels.

Développé en collaboration avec le spécialiste de la sécurité VeriSign, l’ICANN a décidé de mettre en place le système DNSSEC (Domain Name System Security Extensions), qui se charge d’ajouter une signature numérique à la racine du DNS, permettant ainsi à chaque adresse d’être pourvue d’une identification cryptée unique prouvant que le nom de domaine est bien légitime.

Ce système DNSSEC de clé d’authentification chiffrée déployé par l’ICANN et VeriSign devrait ainsi empêcher des cyber-criminels de créer des sites clones, ressemblant pratiquement en tout point à un site Web officiel.

Ces faux sites Internet servent à mieux duper l’internaute, pour pourvoir par exemple lui dérober des informations personnelles, comme des données bancaires, ou l’inciter à télécharger des virus et autres malwares.

Comme le souligne Dan Kaminsky, un chercheur en sécurité qui avait dévoilé il y a deux ans l’existence d’une importante faille DNS, le déploiement de cette signature cryptée au niveau de la racine du DNS par l’ICANN pourrait permettre à des moteurs comme Google de rapidement s’assurer qu’un site Web, comme un service de banque en ligne, proposé dans les résultats de recherche est bien authentique et fiable.

Source: ITespresso.fr

L’internet a sa clé de signature cryptographique

L‘Icann, l’organisme américain qui gère l’attribution des noms de domaine, a généré le 16 juin dernier la première clé de signature cryptographique pour les 13 serveurs racine DNS. Baptisée KSK (Key Signing Key), cette clé permettra d’authentifier de manière récursive l’ensemble des noms de domaine.

C’est une étape essentielle pour le déploiement du service protocolaire DNSSEC, qui devrait démarrer le 15 juillet prochain. Ce qui permettra d’améliorer la sécurisation globale des échanges web. En 2008, le chercheur Dan Kaminsky avait, en effet, découvert une mégafaille dans le système d’adressage de l’internet, qui avait mobilisé toute l’industrie.

Source: 01net