OVH NEWS | ACTUALITÉ, INNOVATION ET TENDANCES IT


Découvrir, comprendre et anticiper














Le 06 / 09 / 2012
Partagez
Article rédigé par Hugo Bonnaffé


OVH.com propose DNSSEC sur 90% de son parc de noms de domaine


DNSSEC désormais disponible sur 90% des domaines

Depuis 9 mois maintenant, OVH.com propose à ses clients la signature de leurs domaines grâce au protocole DNSSEC*. Ce dernier sécurise aujourd’hui 50 000 noms de domaine. Un chiffre significatif, qui témoigne de l’engagement du registrar roubaisien en matière de lutte contre le piratage. Et sonne comme un encouragement à intensifier le déploiement du DNSSEC. Explication avec Stéphane Lesimple, responsable de l’équipe domaines chez OVH.com



15 extensions supportant le DNSSEC

Courant août, les extensions .org, .biz, .cz et .de ont été ajoutées à la liste des extensions supportant l’activation du protocole DNSSEC, portant leur nombre total à 15. Ces 15 extensions, sur les 90 commercialisées par OVH.com, représentent plus de 90% des 2 800 000 noms de domaine enregistrés par la société roubaisienne. Elles figuraient donc parmi les priorités de Stéphane Lesimple, dont l’équipe s’emploie maintenant à rendre possible l’activation du DNSSEC sur les autres extensions compatibles (toutes ne le sont pas encore ; cela se joue au niveau des différents registries).

Le DNSSEC : une évolution nécessaire… à effet différé

Pour rappel, le protocole DNSSEC sécurise les échanges DNS grâce au mécanisme de la signature cryptographique asymétrique. Les réponses DNS sont authentifiées à l’aide d’une paire de clés, l’une publique servant à vérifier la validité d'une signature, l'autre privée servant à signer la zone DNS liée au nom de domaine. De cette façon, un pirate cherchant à intoxiquer un serveur DNS verrait sa tentative déjouée par les résolveurs, alertés par l'invalidité (ou l'absence) de la signature associée à la zone DNS. Mais il est nécessaire d’utiliser le conditionnel car, à l’heure actuelle, parmi les résolveurs DNS des FAI, assez peu vérifient la validité des réponses signées par DNSSEC. Si bien que le DNS continue à fonctionner sans ces mécanismes d’authentification.

Provoquer un effet d’entraînement


« Il est nécessaire d'inciter à mettre massivement en œuvre le DNSSEC , de façon à rendre ce protocole incontournable dans les années à venir. »



« Aujourd’hui, indique Stéphane Lesimple, le seul moyen** de profiter de cette sécurité supplémentaire est d’installer sur son navigateur Internet un plugin, tel que DNSSEC Validator (supporté par le registry des .cz, mais compatible avec toutes les extensions). Grâce à un pictogramme, il vous indique si la zone DNS est authentifiée, à la façon du cadenas qui symbolise le protocole SSL ». C’est pourquoi il est nécessaire pour un bureau d’enregistrement des noms de domaine tel qu’OVH.com de sensibiliser ses clients à la pertinence du DNSSEC. Et, surtout, de les encourager à le mettre en œuvre massivement, de façon à ce que ce protocole devienne incontournable dans les années à venir. Ce qui inciterait les fournisseurs d’accès à Internet à implémenter le DNSSEC, à l’instar d’OVH.com - à ce jour seul FAI à en faire profiter ses clients. « De même, on peut souhaiter l’intégration native d’un validateur DNSSEC sur l’ensemble des navigateurs Internet » complète Stéphane Lesimple. Bref, la stratégie est de provoquer un effet boule de neige.

Déployer le DNSSEC, une démarche militante


« Encourager le passage au DNSSEC, c’est une démarche qu’on pourrait qualifier de militante, dans le sens où cela coûte au registrar des ressources machine supplémentaires ainsi que du temps de travail, pour développer les scripts. »



À l’initiative des registries, le DNSSEC se déploie doucement mais sûrement depuis décembre 2009. Ces organismes qui gèrent les différents registres des noms de domaine (l’AFNIC pour le .fr, VeriSign pour le .com etc.) encouragent les bureaux d’enregistrement à proposer le DNSSEC à leurs clients. Mais, observe Stéphane Lesimple, « à la différence du passage à l’IPv6, il n’y a pas pour le DNSSEC d’épée de Damoclès. L’IPv6, il faudra s’y résoudre de toute façon puisque l’IPv4 ne sera bientôt plus en mesure de répondre à la demande exponentielle d’adresses IP. Encourager le passage au DNSSEC, c’est une démarche qu’on pourrait qualifier de militante, dans le sens où cela coûte au registrar des ressources machine supplémentaires (pour absorber le volume croissant de calculs nécessaire au chiffrement des zones, et l'augmentation de la taille des requêtes DNS au niveau réseau, NDLR) ainsi que du temps de travail, pour développer les scripts ». Toutefois, si OVH.com ne facture pas la mise en place du DNSSEC à ses clients, « cette option agit comme un argument de vente » souligne-t-il, remarquant qu’OVH.com n’aura pas longtemps été le seul registrar français à proposer le DNSSEC. En effet, ses concurrents lui ont vite emboîté le pas. Mais « OVH.com peut encore s’enorgueillir d’être le seul à proposer une activation du DNSSEC qui ne requiert aucune compétence technique ». Les clients qui souhaitent néanmoins gérer seul leur serveur DNS en ont la possibilité, même si cela nécessite un excellent niveau technique. Car ces clients-là doivent en effet renouveler périodiquement les clés, de façon à limiter le risque qu’elles soient cassées. En matière de sécurité, on n’a rien sans rien.

Le DNSSEC bientôt activé par défaut lors des commandes et renouvellements de noms de domaine chez OVH.com ?

La récente progression du nombre de domaines signés grâce au DNSSEC (+45 000 en 3 mois) s’explique en grande partie par le fait d’avoir proposé explicitement cette activation dès la commande. Aussi, confie Stéphane Lesimple, « on pourrait imaginer activer prochainement cette option par défaut lors des commandes de noms de domaine ou des renouvellements. C’est un plus pour le client qui n’engendre ni surcoût, ni contraintes techniques. Mais avec 2 800 000 noms de domaines gérés par OVH.com, si tous basculaient en DNSSEC, il nous faudrait rapidement allouer quelques machines supplémentaires... ». Pour le moment, la principale préoccupation de Stéphane Lesimple est d’ « éduquer » ses clients pour qu’ils choisissent d’eux-mêmes le DNSSEC. Car, comme il aime à le rappeler « chez OVH.com, la philosophie n’est pas d’imposer des choses. On essaye de donner aux clients tous les conseils pour qu’ils puissent prendre les bonnes décisions ».

Alexandre Leroux et Stéphane Lesimple, de l'équipe domaines d'OVH.com

Rendez-vous est pris dans quelques mois pour un dresser un nouveau bilan. Et, peut-être, envisager de nouvelles perspectives car, conclut Stéphane Lesimple : « à l’avenir, le DNSSEC pourrait par exemple remplacer le système actuel de délégation pyramidale des autorités de certification pour la délivrance de certificats SSL, au moins pour les certificats de base qui ne nécessitent pas d'audit ». Vaste sujet !

* Le DNSSEC est le protocole qui sécurise les échanges DNS grâce au mécanisme de la signature cryptographique asymétrique.

** Le seul moyen sauf si votre fournisseur d’accès à Internet est OVH.com, seul FAI aujourd’hui à avoir implémenté sur ses résolveurs le protocole DNSSEC.




Pour aller plus loin


Vers une sécurisation du DNS ?

Retrouvez notre page explicative sur DNSSEC, ainsi que nos guides d'utilisation.