Toute l'actualité des noms de domaine

Archives de mots clés: dnssec

.ORG to Fully Deploy DNSSEC in June

.ORG, The Public Interest Registry to complete its final step of DNSSEC deployment by June 30, 2010

.ORG, The Public Interest Registry (PIR) today announced plans to complete the final step to realizing full DNSSEC deployment in the .ORG registry by accepting second level signed .ORG zones beginning in June of 2010. This positions .ORG as the first generic top-level domain (TLD) to offer full DNSSEC deployment.

All registrars can now plan to offer an additional security service to their customers. The benefits of DNSSEC include the ability to thwart the increasing predominance of attacks like pharming, cache poisoning, and DNS redirection that have been used to commit fraud, distribute malware, and/or identity theft. DNSSEC, an upgrade to the internet infrastructure, protects Internet resolvers (clients) from forged DNS data, such as that created by DNS cache poisoning.

« This announcement coupled with recent ones by Comcast, various ccTLDs and even ICANN, is an important signal not only for application providers, ISPs, and telcos, but also for registrars to begin planning for their implementation now, to address the need for enhanced security for their customers, » said Alexa Raad, CEO of PIR. « Ensuring Internet security and stability are among our highest priorities and being the first to fully deploy DNSSEC positions .ORG registrants to be amongst the first to safeguard their users from escalating security threats, especially as Internet usage continues to grow exponentially. »

Launching signed delegations, with the technical support of Afilias, is the final step in PIR’s phased approach to fully deploying DNSSEC within the .ORG zone. A rigorous « friends and family » testing phase, started in June of 2008 has enabled PIR not only to thoroughly test and address operational and deployment issues related to zone management, key distribution and rollover, but also to assist registrars in the development and deployment of the service.

« We applaud PIR’s leadership in the deployment of DNSSEC in the gTLD space, » said Rod Beckstrom, President and Chief Executive Officer of ICANN. « Opening up general registration of signed zones in .ORG is a major step forward. »

All interested registrars must pass a mandatory DNSSEC Certification Test

Source: Circle ID

AFNIC : attention à la racine DNS !

Dès mai prochain, tous les serveurs de la racine sur lesquels reposent le fonctionnement des noms de domaine devront émettre des réponses DNS signés, selon le protocole DNSSEC. Cette modification, importante pour le réseau, doit fournir une meilleure sécurité et authentification. Mais l’afnic soulève aussi un problème gênant : les risques de coupure de connexion DNS ! Ainsi l’Afnic conseille vivement de vérifier si son réseau est potentiellement concerné , vérifier si la réponse dépasse 1500 octets, analyser l’ensemble du réseau et les équipements de type pare-feux. Les tests peuvent se faire avec l’outil dig… Il faudra aussi surveiller le comportenent des serveurs web (ceux des fournisseurs).
Techniquement, la racine du DNS sera signée par DNSSEC. Il s’agit donc d’une signature cryptée d’une taille de 5 à 10 fois plus grosses que les réponses DNS actuelles, pouvant dépasser la limite haute des 1500 octets.

Auteur: François Tonic
Source: www.solutions-logiciels.com

Opération blindage pour l’adressage du Web

VeriSign et l’Icann ont posé les fondements pour une généralisation du protocole DNSSEC, permettant de sécuriser les noms de domaine sur le Web. Sur les serveurs racine de l’Internet, le déploiement débutera d’ici à la fin de l’année.

C‘est parti ! L’Icann, l’organisme qui gère les noms de domaine, et l’opérateur VeriSign ont décidé de mettre les bouchées doubles dans l’implémentation du protocole DNSSEC (DNS Security Extensions) avec, à la clé, une feuille de route précise pour le déploiement sur les serveurs racine. Ensuite, Verisign implémentera ce protocole sur les domaines .com et .net, dont il est responsable. 

DNSSEC est un protocole qui, grâce à un système de signature électronique, permet de vérifier l’authenticité de la réponse d’un serveur DNS. Son fonctionnement est hiérarchique. Chaque serveur d’une zone DNS (.fr, .com, inria.fr, etc.) disposera d’une paire de clés de signature à chiffrement asymétrique, appelée Zone Signing Keys (ZSK). L’une des clés est publique, l’autre privée. Cette dernière sert à signer les données DNS que délivre le serveur de zone. Un client DNS qui reçoit une réponse signée d’un de ces serveurs pourra déchiffrer la signature au moyen de la clé publique et vérifier, ainsi, la provenance et l’intégrité des données.

Pour autant, ce système de clés ne permet pas de savoir à 100 % si le serveur lui-même est réellement digne de confiance : un usurpateur pourrait se substituer à lui et diffuser ses propres ZSK. C’est pourquoi les serveurs de zone disposent d’une deuxième paire de clés asymétriques. Appelées Key Signing Keys (KSK), elles servent à signer les ZKS des zones inférieures (01net.com, afnic.fr, etc.), créant ainsi une chaîne de confiance sur l’ensemble des URL. Un navigateur n’obtiendra la confiance d’une zone de niveau n (01net.com), que s’il a obtenu la confiance des zones de niveau supérieur (.com).

Une paire de clés maître pour sécuriser tout l’Internet

La mise en œuvre de DNSSEC est discutée depuis longtemps, mais elle n’est envisagée sérieusement que depuis la découverte d’une grave faille dans le DNS en 2008 qui, justement, faisait apparaître la possibilité d’usurper un serveur DNS et de dévier un trafic Web vers des sites pirates. La grande difficulté dans l’implémentation de DNSSEC est la gestion hiérarchique des clés. Or, l’Icann et VeriSign sont maintenant tombés d’accord sur la manière d’introduire ce protocole au niveau des serveurs racine, afin de créer la base de cette chaîne de confiance. 

Ainsi, les ZSK des serveurs racine seront générées et détenues par VeriSign, qui les renouvellera tous les trois mois. Ces ZSK seront signés par une paire de clés maître KSK, qui sera générée et détenue par l’Icann. Toute la sécurité de DNSSEC s’appuiera in fine sur cette fameuse paire de clés KSK, sur laquelle l’organisme veillera comme sur un véritable trésor. Sauvegardée et dupliquée sur deux sites physiques distincts, cette paire est renouvellée tous les deux à cinq ans. Sa gestion – création, activation, signature, renouvellement, sauvegarde, etc. – est répartie sur sept personnes de la communauté Internet qui devront se coordonner. Ainsi, une procédure de génération ou de signature nécessitera la présence physique d’au moins trois d’entre eux.  

Les principes techniques sont décrits dans un document de travail, disponible sur le site du NTIA (National Telecommunications and Information Administration).

Les domaines .com et .et opérationnels d’ici à mars 2011

Le déploiement mondial de DNSSEC

Le déploiement mondial de DNSSEC

Côté déploiement, le planning est serré. La génération des premières clés maître KSK se fera en décembre prochain. Le déploiement des clés ZSK sur les 13 serveurs racine se fera dans la foulée, mais de manière progressive, jusqu’en mai ou juin 2010. VeriSign s’attaquera ensuite aux domaines .com et .net. Sur ces deux zones, DNSSEC devrait être opérationnel d’ici à la fin du premier trimestre 2011. L’opérateur va aider les bureaux d’enregistrement dans leur migration vers DNSSEC. Il a également mis en place un laboratoire d’interopérabilité pour tester la conformité des équipements et logiciels réseaux avec ce protocole.

Les .com et .net ne seront pas les premiers domaines à adopter DNSSEC, comme le montre la carte du fournisseur Xelerance. Les .org et .gov ont déjà passé le cap, ainsi que certains domaines de pays (Suède, République tchèque, Bulgarie, Brésil, Porto Rico, Namibie, Thaïlande, Turkmenistan). Pour le .fr, le déploiement de DNSSEC est géré au sein du projet IDSA

Il faut préciser, toutefois, que ce protocole n’est pas une solution magique. « DNSSEC est une composante importante de la sécurité sur Internet, mais ne résout pas tous les problèmes, explique Ken Silva, directeur technique de VeriSign, dans un communiqué. C’est pourquoi il faut mettre en place d’autres couches de protection, comme l’Extended Validation SSL ou l’authentification à double facteur. »

Auteur : Gilbert Kallenborn
Source 01Net.com

Eurid va tester la méthode sécuritaire DNSSEC

Eurid, le gestionnaire du domaine européen de top level .eu, va d’ici quelques jours lancer un projet de test de la méthode de protection DNSSEC. L’introduction de ce nouveau protocole sécuritaire est considérée comme une étape importante dans la lutte contre le hameçonnage (‘phishing’).

Un internet (plus) sûr est l’un des thèmes importants de la réunion de l’Icann organisée cette semaine à Séoul. Le fait que l’instance qui gère le système des noms de domaine au niveau mondial, entend introduire dans les années à venir des centaines de nouveaux suffixes, n’y est pas étranger. Les nombreux ateliers consacrés à l’e-crime et à l’abus du DNS sont suivis avec attention par les centaines de personnes présentes sur place.

L’un des sujets chauds est l’arrivée du protocole sécuritaire DNSSEC (DNS Security Extensions) pour les domaines de top level. Depuis que l’expert en sécurité Dan Kaminsky avait l’an dernier fait part d’une sérieuse brèche DNS au niveau mondial, il se fait que seule la nouvelle méthode de protection offre une solution plus ou moins étanche à la défense de l’intégrité du système de noms de domaine. DNSSEC sera même obligatoire pour les nouveaux suffixes internet qui arriveront.

« C’est une bonne chose », estime Marc Van Wesemael, patron d’Eurid, « car ainsi, le protocole pourra être lancé sur le marché. Actuellement, il est encore malaisé de persuader les ‘registrars’ (les petites entreprises commerciales qui enregistrent les noms de domaine) de l’utilité de DNSSEC. Souvent, ils ne sont pas encore prêts à y consacrer du temps et de l’argent supplémentaires. C’est dû en partie à une méconnaissance du sujet. »

DNSSEC introduit les ‘public key algoritmes’ dans le système des noms de domaine. En langage de tous les jours, cela signifie qu’à chaque réponse donnée par le protocole DNS est associée une sorte de signature numérique. Les esprits malfaisants ne pourront plus polluer la cache et orienter les internautes naïfs vers des sites factices, du fait que l’authenticité de l’information demandée sera toujours vérifiée. Les internautes aboutiront donc en principe toujours à l’endroit qu’ils recherchent.

Il en résultera que le processus d’enregistrement d’un nom de domaine sera plus compliqué, parce que chaque nom de domaine devra être pourvu de ce genre de clé numérique. En outre, on assistera à une multiplication (de 6 à 10 fois) du fichier zone, dans lequel tous les noms de domaine sont stockés car toutes ces signatures viendront évidemment s’y ajouter. Pour un pays comme l’Allemagne, qui compte plus de 13 millions de noms de domaine, ce sera tout sauf évident.

« Durant la phase de test, nous voulons aussi vérifier ce qui va se passer au niveau des performances », ajoute encore Van Wesemael. « C’est très bien que l’on reçoive une réponse signée, mais il faut encore la décrypter, ce qui prend du temps. En d’autres mots, le processus sera nettement plus lent, ce qui aura comme conséquence que les ‘registrars’, mais aussi les exploitants des TLD et les ISP devront utiliser du matériel plus puissant. »

« Nous nous attendons à ce que le test donne ses résultats au début de l’an prochain », conclu le directeur général. « Nous pourrons alors fixer une date à laquelle nous allons réellement démarrer. »

auteur : Frederik Tibau
Source DataNews.be

Switch sur la voie du DNSSEC

le registre suisse a déclaré (1) s’engager dans la voie de DNSSEC. Les tests ont commencé fin septembre et devraient durer jusqu’en février 2010. SWITCH s’est aussi efforcé de dissiper les malentendus liés à son intention de créer un registrar qui commercialiserait des .CH, risquant ainsi de concurrencer ses revendeurs dont certains n’ont pas hésité à aller jusqu’au procès pour bloquer l’initiative. Switch précise que la nouvelle entité est distincte de ses activités habituelles sur les plans organisationnel, juridique et financier. Tout en regrettant l’incompréhension de certains acteurs, le registre souligne qu’il « se défendra par tous les moyens possibles ».

.CH : SWITCH fait un service d’essai DNSSEC

Zurich (ots) – SWITCH fera jusqu’en février 2010 un service de test DNSSEC. Pour cela, les zones .ch et .li ont été signées. DNSSEC est une extension du Domain Name System (DNS) destinée à empêcher la manipulation de demandes DNS.

    DNSSEC est une extension du système de noms de domaine (DNS) servant à garantir l’authenticité et l’intégrité des données de réponses DNS.

    Par des mesures techniques, l’ordinateur demandeur (par exemple navigateur Internet) peut ainsi reconnaître si la réponse sur une adresse Internet au DNS provient effectivement du serveur enregistré chez SWITCH comme compétent. En même temps, il est garanti que cette réponse n’a pas été modifiée pendant le transport sur Internet.

    Plus simplement: DNSSEC est une sorte d’assurance garantissant à l’usager d’Internet que seul est affiché le site Web qu’il souhaite appeler.

    Ceci est garanti par des signatures cryptographiques. Les informations ne sont pas codées sur DNSSEC. Toutes les données restent publiquement accessibles comme pour le DNS existant.

    Vous trouverez de plus amples informations et la brochure PDF « Qu’est-ce que DNSSEC? » sur le site Web: www.nic.ch/fr/dnssec

    Depuis 1987, la fondation SWITCH est au service du réseau scientifique suisse qui garantit aux hautes écoles l’accès à la société de l’information. Ce réseau ultra performant lie les utilisateurs de Suisse au monde entier. L’exploitation de ce réseau par SWITCH génère le savoir-faire indispensable et forme la base technologique pour l’exploitation du service d’enregistrement des noms de domaine en .ch et .li.

source PressePortal.ch

DNS et Eurid vont améliorer la sécurité des domaines .eu et .be

DNS (.be) et Eurid (.eu) entendent cette année encore introduire la méthode de sécurisation DNSSEC pour leurs noms de domaine. Ensuite, les internautes pourront en principe être assurés d’accéder toujours sur le site voulu.

Un internet (plus) sûr, tel est l’un des principaux thèmes de la conférence Icann organisée cette semaine à Mexico City. Et le fait que l’instance qui gère le système des noms de domaine au niveau mondial, veuille introduire des centaines de nouveaux suffixes dans les années à venir, n’y est certainement pas étranger. Les nombreux ateliers axés sur l’e-délit et l’abus du DNS sont suivis avec attention par des centaines de participants.

L’un des thèmes ‘chauds’ dans ce cadre est le lancement du protocole de sécurisation DNSSEC (DNS Security Extensions) pour les domaines de ‘top level’ (TLD). Depuis que l’expert en sécurité Dan Kaminsky avait rendu public une sérieuse fuite de DNS, début juillet dernier, il se dit que seule l’introduction de cette nouvelle méthode de sécurisation offre une solution plus ou moins hermétique pour la protection de l’intégrité du système de noms de domaine. Les correctifs qui avaient ensuite déployés, réduisent certes déjà le risque de souillure des caches, mais ne l’annulent certainement pas.

Les registres pour des pays comme la Suède, le Brésil, la Bulgarie et la Tchéquie ont entre-temps déjà opté pour une solution structurelle en passant à DNSSEC. Les exploitants des noms de domaine .eu (Eurid) et .be (DNS) entendent eux aussi les convertir cette année encore. « Actuellement, nous passons en revue tout ce qui se passera en introduisant DNSSEC », déclare Marc Van Wesemael, le directeur d’Eurid. « Et c’est déjà pas mal. »

Le lancement du protocole de sécurisation DNSSEC est de toute façon une affaire complexe, non seulement sur le plan technique, mais aussi sur celui de la procédure. Un petit mot d’explication s’impose ici. DNSSEC introduit les ‘public key algoritmes’ dans le système des noms de domaine. Cela signifie que le propriétaire combine une espèce de signature numérique à son nom de domaine. Les esprits mal intentionnés ne peuvent alors plus souiller la cache et orienter les surfeurs non soupçonneux vers des sites factices, parce que l’information demandée est toujours vérifiée. Les internautes aboutissent donc toujours sur le site voulu.

« Tout cela a pour conséquence que le processus d’enregistrement d’un nom de domaine se complique, du fait que tout nom de domaine doit être doté de ce genre de clé numérique », poursuit Van Wesemael. « En outre, cela multiplie le fichier de zone (jusqu’ à 10 fois), dans lequel tous les noms de domaine sont stockés car toutes ces signatures viennent évidemment s’y ajouter. Pour une zone comme l’Allemagne et ses treize millions de noms de domaine, ce n’est vraiment pas évident. »

Il se pourrait aussi que cela entraîne une réduction des performances, se murmure-t-il. « S’il est intéressant d’obtenir une réponse signée, encore faut-il qu’elle soit décryptée, ce qui prend du temps », confirme le directeur général. « L’utilisateur final ne s’en apercevra pas tellement, mais en fin de compte, c’est tout le processus qui sera plus lent. Les ‘registrars’ (les petites entreprises qui enregistrent les noms de domaine), les exploitants de TLD et ISP devront donc utiliser du matériel plus puissant. »

Un autre obstacle est de nature procédurale. Les propriétaires d’un nom de domaine devront transmettre leurs clés de manière sûre car en cas de négligence, les pirates saisiront l’occasion. « Plus longtemps une clé sera utilisée, plus grand sera le risque que des pirates l’interceptent. Voilà pourquoi de nouvelles clés seront régulièrement introduites. Il appartient aux ‘registrars’ de fournir ces signatures à leurs clients. Cela leur fera pas mal de travail supplémentaire, ce qui fera grimper les coûts. Quiconque souhaite un nom de domaine sécurisé devra donc en payer le prix. »

Le registre suédois est le premier à entamer le déploiement de DNSSEC, « mais ce déploiement s’effectue encore manuellement. La clé est introduite à la main, parce qu’il n’y a encore qu’une centaine de propriétaires à avoir opté DNSSEC. Voilà aussi un autre avantage du protocole. Il est possible d’introduire le système à l’échelle nationale, mais tout le monde ne devra pas sauter dans le train. Il y aura en effet des ‘registrars’ qui ne voudront pas collaborer, tout comme il y aura de nombreux clients qui ne jugeront pas nécessaire d’avoir un nom de domaine ‘sécurisé’. »

« Pour .eu et .be, nous souhaiterions opter à cent pour cent pour DNSSEC », conclut Van Wesemael. « Mais pour cela, il faut disposer d’un système automatisé. Aucun pays n’utilise encore ce genre de système. Sur ce plan, nous serons donc parmi les premiers de la classe. »

auteur : Frederik Tibau
source DataNews.be