OVH NEWS | ACTUALITÉ, INNOVATION ET TENDANCES IT


Découvrir, comprendre et anticiper














Le 06 / 09 / 2012
Partagez

Dossier rédigé par Hugo Bonnaffé


OVH.com propose DNSSEC sur 90% de son parc de noms de domaine


DNSSEC désormais disponible sur 90% des domaines

Depuis 9 mois maintenant, OVH.com propose à ses clients la signature de leurs domaines grâce au protocole DNSSEC*. Ce dernier sécurise aujourd’hui 50 000 noms de domaine. Un chiffre significatif, qui témoigne de l’engagement du registrar roubaisien en matière de lutte contre le piratage. Et sonne comme un encouragement à intensifier le déploiement du DNSSEC. Explication avec Stéphane Lesimple, responsable de l’équipe domaines chez OVH.com




15 extensions supportant le DNSSEC


Courant août, les extensions .org, .biz, .cz et .de ont été ajoutées à la liste des extensions supportant l’activation du protocole DNSSEC, portant leur nombre total à 15. Ces 15 extensions, sur les 90 commercialisées par OVH.com, représentent plus de 90% des 2 800 000 noms de domaine enregistrés par la société roubaisienne. Elles figuraient donc parmi les priorités de Stéphane Lesimple, dont l’équipe s’emploie maintenant à rendre possible l’activation du DNSSEC sur les autres extensions compatibles (toutes ne le sont pas encore ; cela se joue au niveau des différents registries).



Le DNSSEC : une évolution nécessaire… à effet différé


Pour rappel, le protocole DNSSEC sécurise les échanges DNS grâce au mécanisme de la signature cryptographique asymétrique. Les réponses DNS sont authentifiées à l’aide d’une paire de clés, l’une publique servant à vérifier la validité d'une signature, l'autre privée servant à signer la zone DNS liée au nom de domaine. De cette façon, un pirate cherchant à intoxiquer un serveur DNS verrait sa tentative déjouée par les résolveurs, alertés par l'invalidité (ou l'absence) de la signature associée à la zone DNS. Mais il est nécessaire d’utiliser le conditionnel car, à l’heure actuelle, parmi les résolveurs DNS des FAI, assez peu vérifient la validité des réponses signées par DNSSEC. Si bien que le DNS continue à fonctionner sans ces mécanismes d’authentification.





« Il est nécessaire d'inciter à mettre massivement en œuvre le DNSSEC , de façon à rendre ce protocole incontournable dans les années à venir. »







« Encourager le passage au DNSSEC, c’est une démarche qu’on pourrait qualifier de militante, dans le sens où cela coûte au registrar des ressources machine supplémentaires ainsi que du temps de travail, pour développer les scripts. »





Le DNSSEC bientôt activé par défaut lors des commandes et renouvellements de noms de domaine chez OVH.com ?


La récente progression du nombre de domaines signés grâce au DNSSEC (+45 000 en 3 mois) s’explique en grande partie par le fait d’avoir proposé explicitement cette activation dès la commande. Aussi, confie Stéphane Lesimple, « on pourrait imaginer activer prochainement cette option par défaut lors des commandes de noms de domaine ou des renouvellements. C’est un plus pour le client qui n’engendre ni surcoût, ni contraintes techniques. Mais avec 2 800 000 noms de domaines gérés par OVH.com, si tous basculaient en DNSSEC, il nous faudrait rapidement allouer quelques machines supplémentaires... ». Pour le moment, la principale préoccupation de Stéphane Lesimple est d’ « éduquer » ses clients pour qu’ils choisissent d’eux-mêmes le DNSSEC. Car, comme il aime à le rappeler « chez OVH.com, la philosophie n’est pas d’imposer des choses. On essaye de donner aux clients tous les conseils pour qu’ils puissent prendre les bonnes décisions ».

Alexandre Leroux et Stéphane Lesimple, de l'équipe domaines d'OVH.com


Rendez-vous est pris dans quelques mois pour un dresser un nouveau bilan. Et, peut-être, envisager de nouvelles perspectives car, conclut Stéphane Lesimple : « à l’avenir, le DNSSEC pourrait par exemple remplacer le système actuel de délégation pyramidale des autorités de certification pour la délivrance de certificats SSL, au moins pour les certificats de base qui ne nécessitent pas d'audit ». Vaste sujet !

* Le DNSSEC est le protocole qui sécurise les échanges DNS grâce au mécanisme de la signature cryptographique asymétrique.

** Le seul moyen sauf si votre fournisseur d’accès à Internet est OVH.com, seul FAI aujourd’hui à avoir implémenté sur ses résolveurs le protocole DNSSEC.






Pour aller plus loin


Vers une sécurisation du DNS ?

Retrouvez notre page explicative sur DNSSEC, ainsi que nos guides d'utilisation.