DNSSEC

DNSSEC est une extension du système de noms de domaine (DNS). Cette extension sert à garantir l'authenticité et l'intégrité des données des réponses DNS.

DNSSEC utilise des signatures cryptographiques pour garantir que les réponses DNS ne puissent pas être manipulées sans que cela soit détecté, ce qui permet une publication sécurisée des données dans le DNS. Presque chaque transaction sur Internet commence par une requête DNS, qu'il s'agisse de l'appel d'une site web, de l'envoi d'un e-mail, de l'utilisation d'une messagerie instantanée ou de la gestion d'un compte bancaire en ligne. DNSSEC permet d'éviter qu'un utilisateur ne soit redirigé vers un mauvais serveur par le biais de réponses DNS falsifiées.

En outre, DNSSEC constitue le fondement d'autres mécanismes de sécurité. Le protocole DANE, par exemple, peut être utilisé pour crypter des e-mails sans impliquer de tierces parties (autorités de certification) et garantir une distribution au bon serveur cible. Par son utilisation combinée avec d'autres technologies telles que le TLS, les transactions sur Internet sont sécurisées à plusieurs niveaux.

La communication sur Internet utilise le DNS de manière très étendue pour la recherche d'informations. Cependant, comme le protocole DNS remonte aux débuts d'Internet, il n'inclut pas l'aspect de la sécurité dans sa conception. DNSSEC sécurise ainsi un protocole DNS qui ne serait autrement pas sécurisé, et améliore de ce fait la sûreté de toutes les communications sur Internet.

En tant qu'usager d'Internet, vous n'avez rien à entreprendre. Si votre fournisseur d'accès Internet supporte DNSSEC, tous les contrôles de signature se feront sur ses serveurs DNS.

Si vous en tant que détenteur voulez protéger votre nom de domaine avec DNSSEC, l'opérateur des serveurs de noms doit installer DNSSEC pour vous. Contactez l'hébergeur si les serveurs de noms sont opérés par votre hébergeur web. Contactez le département IT interne si votre entreprise opère des propres serveurs de noms.

Le graphique présente le nombre de noms de domaine signés DNSSEC respectivement au 1er de chaque mois, depuis l'introduction de DNSSEC chez SWITCH en 2010.

Nombre de noms de domaine .ch avec DNSSEC

A l'attention des exploitants de serveurs de noms, nous publions ici les codes DNSSEC actuels des Top Level Domains .ch et .li.

Important: Les codes des Top Level Domains .ch et .li ne devraient pas être configurés directement comme Trust Anchors à vos serveurs de noms. Veuillez n'utiliser pour cela que les codes de la zone Root exclusivement. Nos codes ne sont indiqués ici que pour vérification.

Codes DNSSEC actuels

CH: Code 11896, validité envisagée jusqu'au 16 décembre 2019

DS 11896 13 2 24EE6537B1C452D3AEBF439DCF74024717054152DA7F206D5FCBA1A90F70711F

LI: Code 43587, validité envisagée jusqu'au 16 décembre 2019

DS 43587 13 2 B14D4CF3551DB52CF024E85CECA6AC7D0D78356E95C67AA6CD75257D1CAB268F

Le document "Key Management Practice Statement" décrit la manière dont SWITCH traite le matériel cryptographique des codes en relation avec DNSSEC. Il explique comment les codes sont générés et stockés et quand ils cessent d'être valables.

Key Management Practice Statement (en anglais)