15 extensions supportant le DNSSEC

Courant août, les extensions .org, .biz, .cz et .de ont été ajoutées à la liste des extensions supportant l’activation du protocole DNSSEC, portant leur nombre total à 15. Ces 15 extensions, sur les 90 commercialisées par OVH.com, représentent plus de 90% des 2 800 000 noms de domaine enregistrés par la société roubaisienne. Elles figuraient donc parmi les priorités de Stéphane Lesimple, dont l’équipe s’emploie maintenant à rendre possible l’activation du DNSSEC sur les autres extensions compatibles (toutes ne le sont pas encore ; cela se joue au niveau des différents registries).

Le DNSSEC : une évolution nécessaire… à effet différé

Pour rappel, le protocole DNSSEC sécurise les échanges DNS grâce au mécanisme de la signature cryptographique asymétrique. Les réponses DNS sont authentifiées à l’aide d’une paire de clés, l’une publique servant à vérifier la validité d'une signature, l'autre privée servant à signer la zone DNS liée au nom de domaine. De cette façon, un pirate cherchant à intoxiquer un serveur DNS verrait sa tentative déjouée par les résolveurs, alertés par l'invalidité (ou l'absence) de la signature associée à la zone DNS. Mais il est nécessaire d’utiliser le conditionnel car, à l’heure actuelle, parmi les résolveurs DNS des FAI, assez peu vérifient la validité des réponses signées par DNSSEC. Si bien que le DNS continue à fonctionner sans ces mécanismes d’authentification.

Provoquer un effet d’entraînement

« Aujourd’hui, indique Stéphane Lesimple, le seul moyen** de profiter de cette sécurité supplémentaire est d’installer sur son navigateur Internet un plugin, tel que DNSSEC Validator (supporté par le registry des .cz, mais compatible avec toutes les extensions). Grâce à un pictogramme, il vous indique si la zone DNS est authentifiée, à la façon du cadenas qui symbolise le protocole SSL ». C’est pourquoi il est nécessaire pour un bureau d’enregistrement des noms de domaine tel qu’OVH.com de sensibiliser ses clients à la pertinence du DNSSEC. Et, surtout, de les encourager à le mettre en œuvre massivement, de façon à ce que ce protocole devienne incontournable dans les années à venir. Ce qui inciterait les fournisseurs d’accès à Internet à implémenter le DNSSEC, à l’instar d’OVH.com - à ce jour seul FAI à en faire profiter ses clients. « De même, on peut souhaiter l’intégration native d’un validateur DNSSEC sur l’ensemble des navigateurs Internet » complète Stéphane Lesimple. Bref, la stratégie est de provoquer un effet boule de neige.

Déployer le DNSSEC, une démarche militante

À l’initiative des registries, le DNSSEC se déploie doucement mais sûrement depuis décembre 2009. Ces organismes qui gèrent les différents registres des noms de domaine (l’AFNIC pour le .fr, VeriSign pour le .com etc.) encouragent les bureaux d’enregistrement à proposer le DNSSEC à leurs clients. Mais, observe Stéphane Lesimple, « à la différence du passage à l’IPv6, il n’y a pas pour le DNSSEC d’épée de Damoclès. L’IPv6, il faudra s’y résoudre de toute façon puisque l’IPv4 ne sera bientôt plus en mesure de répondre à la demande exponentielle d’adresses IP. Encourager le passage au DNSSEC, c’est une démarche qu’on pourrait qualifier de militante, dans le sens où cela coûte au registrar des ressources machine supplémentaires (pour absorber le volume croissant de calculs nécessaire au chiffrement des zones, et l'augmentation de la taille des requêtes DNS au niveau réseau, NDLR) ainsi que du temps de travail, pour développer les scripts ». Toutefois, si OVH.com ne facture pas la mise en place du DNSSEC à ses clients, « cette option agit comme un argument de vente » souligne-t-il, remarquant qu’OVH.com n’aura pas longtemps été le seul registrar français à proposer le DNSSEC. En effet, ses concurrents lui ont vite emboîté le pas. Mais « OVH.com peut encore s’enorgueillir d’être le seul à proposer une activation du DNSSEC qui ne requiert aucune compétence technique ». Les clients qui souhaitent néanmoins gérer seul leur serveur DNS en ont la possibilité, même si cela nécessite un excellent niveau technique. Car ces clients-là doivent en effet renouveler périodiquement les clés, de façon à limiter le risque qu’elles soient cassées. En matière de sécurité, on n’a rien sans rien.

Le DNSSEC bientôt activé par défaut lors des commandes et renouvellements de noms de domaine chez OVH.com ?

La récente progression du nombre de domaines signés grâce au DNSSEC (+45 000 en 3 mois) s’explique en grande partie par le fait d’avoir proposé explicitement cette activation dès la commande. Aussi, confie Stéphane Lesimple, « on pourrait imaginer activer prochainement cette option par défaut lors des commandes de noms de domaine ou des renouvellements. C’est un plus pour le client qui n’engendre ni surcoût, ni contraintes techniques. Mais avec 2 800 000 noms de domaines gérés par OVH.com, si tous basculaient en DNSSEC, il nous faudrait rapidement allouer quelques machines supplémentaires... ». Pour le moment, la principale préoccupation de Stéphane Lesimple est d’ « éduquer » ses clients pour qu’ils choisissent d’eux-mêmes le DNSSEC. Car, comme il aime à le rappeler « chez OVH.com, la philosophie n’est pas d’imposer des choses. On essaye de donner aux clients tous les conseils pour qu’ils puissent prendre les bonnes décisions ».

Rendez-vous est pris dans quelques mois pour un dresser un nouveau bilan. Et, peut-être, envisager de nouvelles perspectives car, conclut Stéphane Lesimple : « à l’avenir, le DNSSEC pourrait par exemple remplacer le système actuel de délégation pyramidale des autorités de certification pour la délivrance de certificats SSL, au moins pour les certificats de base qui ne nécessitent pas d'audit ». Vaste sujet !

* Le DNSSEC est le protocole qui sécurise les échanges DNS grâce au mécanisme de la signature cryptographique asymétrique.

** Le seul moyen sauf si votre fournisseur d’accès à Internet est OVH.com, seul FAI aujourd’hui à avoir implémenté sur ses résolveurs le protocole DNSSEC.