DNSSEC

DNSSEC est une extension du système de noms de domaine (DNS). Cette extension sert à garantir l'authenticité et l'intégrité des données des réponses DNS.

DNSSEC utilise des signatures cryptographiques pour garantir que les réponses DNS ne puissent pas être manipulées sans que cela soit détecté, ce qui permet une publication sécurisée des données dans le DNS. Presque chaque transaction sur Internet commence par une requête DNS, qu'il s'agisse de l'appel d'une site web, de l'envoi d'un e-mail, de l'utilisation d'une messagerie instantanée ou de la gestion d'un compte bancaire en ligne. DNSSEC permet d'éviter qu'un utilisateur ne soit redirigé vers un mauvais serveur par le biais de réponses DNS falsifiées.

En outre, DNSSEC constitue le fondement d'autres mécanismes de sécurité. Le protocole DANE, par exemple, peut être utilisé pour crypter des e-mails sans impliquer de tierces parties (autorités de certification) et garantir une distribution au bon serveur cible. Par son utilisation combinée avec d'autres technologies telles que le TLS, les transactions sur Internet sont sécurisées à plusieurs niveaux.

La communication sur Internet utilise le DNS de manière très étendue pour la recherche d'informations. Cependant, comme le protocole DNS remonte aux débuts d'Internet, il n'inclut pas l'aspect de la sécurité dans sa conception. DNSSEC sécurise ainsi un protocole DNS qui ne serait autrement pas sécurisé, et améliore de ce fait la sûreté de toutes les communications sur Internet.

En tant qu'usager d'Internet, vous n'avez rien à entreprendre. Si votre fournisseur d'accès Internet supporte DNSSEC, tous les contrôles de signature se feront sur ses serveurs DNS.

Si vous en tant que détenteur voulez protéger votre nom de domaine avec DNSSEC, l'opérateur des serveurs de noms doit installer DNSSEC pour vous. Contactez l'hébergeur si les serveurs de noms sont opérés par votre hébergeur web. Contactez le département IT interne si votre entreprise opère des propres serveurs de noms.

Le graphique présente le nombre de noms de domaine signés DNSSEC le premier jour de chaque mois, depuis l'introduction de DNSSEC chez SWITCH en 2010.

Nombre de noms de domaine .ch avec DNSSEC

A l'attention des exploitants de serveurs de noms, nous publions ici les codes DNSSEC actuels des Top Level Domains .ch et .li.

Important: Les codes des Top Level Domains .ch et .li ne devraient pas être configurés directement comme Trust Anchors à vos serveurs de noms. Veuillez n'utiliser pour cela que les codes de la zone Root exclusivement. Nos codes ne sont indiqués ici que pour vérification.

Codes DNSSEC actuels

CH: Code 10, remplacement envisagé en novembre 2023

DS 10 13 2 0E175543A74D9083EA977BAB2BEE98A771995F80982FB796B2B0B9CC6413D1A6

LI: Code 43984, remplacement envisagé en novembre 2023

DS 43984 13 2 844E2B8C231F43692D319A33657A9A83C9F22BAF53F276EF23F8405E20A0F1FA

Le document "Key Management Practice Statement" décrit la manière dont SWITCH traite le matériel cryptographique des codes en relation avec DNSSEC. Il explique comment les codes sont générés et stockés et quand ils cessent d'être valables.

Key Management Practice Statement (en anglais)