DNSSEC

DNSSEC est une extension du système de noms de domaine (DNS). Cette extension sert à garantir l'authenticité et l'intégrité des données des réponses DNS.

DNSSEC utilise des signatures cryptographiques pour garantir que les réponses DNS ne puissent pas être manipulées sans que cela soit détecté, ce qui permet une publication sécurisée des données dans le DNS. Presque chaque transaction sur Internet commence par une requête DNS, qu'il s'agisse de l'appel d'une site web, de l'envoi d'un e-mail, de l'utilisation d'une messagerie instantanée ou de la gestion d'un compte bancaire en ligne. DNSSEC permet d'éviter qu'un utilisateur ne soit redirigé vers un mauvais serveur par le biais de réponses DNS falsifiées.

En outre, DNSSEC constitue le fondement d'autres mécanismes de sécurité. Le protocole DANE, par exemple, peut être utilisé pour crypter des e-mails sans impliquer de tierces parties (autorités de certification) et garantir une distribution au bon serveur cible. Par son utilisation combinée avec d'autres technologies telles que le TLS, les transactions sur Internet sont sécurisées à plusieurs niveaux.

La communication sur Internet utilise le DNS de manière très étendue pour la recherche d'informations. Cependant, comme le protocole DNS remonte aux débuts d'Internet, il n'inclut pas l'aspect de la sécurité dans sa conception. DNSSEC sécurise ainsi un protocole DNS qui ne serait autrement pas sécurisé, et améliore de ce fait la sûreté de toutes les communications sur Internet.

En tant qu'usager d'Internet, vous n'avez rien à entreprendre. Si votre fournisseur d'accès Internet supporte DNSSEC, tous les contrôles de signature se feront sur ses serveurs DNS.

Si vous en tant que détenteur voulez protéger votre nom de domaine avec DNSSEC, l'opérateur des serveurs de noms doit installer DNSSEC pour vous. Contactez l'hébergeur si les serveurs de noms sont opérés par votre hébergeur web. Contactez le département IT interne si votre entreprise opère des propres serveurs de noms.

Le graphique présente le nombre de noms de domaine signés DNSSEC respectivement au 1er de chaque mois, depuis l'introduction de DNSSEC chez SWITCH en 2010.

Nombre de noms de domaine .ch avec DNSSEC

A l'attention des exploitants de serveurs de noms, nous publions ici les codes DNSSEC actuels des Top Level Domains .ch et .li.

Important: Les codes des Top Level Domains .ch et .li ne devraient pas être configurés directement comme Trust Anchors à vos serveurs de noms. Veuillez n'utiliser pour cela que les codes de la zone Root exclusivement. Nos codes ne sont indiqués ici que pour vérification.

Codes DNSSEC actuels

CH: Code 1053, validité envisagée jusqu'au décembre 2021

DS 1053 13 2 94D834BEF7536BFE6ECB4682E1151BDD4882CA12C6DB2C1AA64CB0E9D4DA5222

LI: Code 62844, validité envisagée jusqu'au décembre 2021

DS 62844 13 2 1A0BE40AA38A254F97CDF811ACB4E33872A087E718FD3BA3828E3D59C706C3E4

Le document "Key Management Practice Statement" décrit la manière dont SWITCH traite le matériel cryptographique des codes en relation avec DNSSEC. Il explique comment les codes sont générés et stockés et quand ils cessent d'être valables.

Key Management Practice Statement (en anglais)