Vers une sécurisation simplifiée de .eu

EURid a lancé une application qui simplifie la signature de .eu avec DNSSEC.

EURid, le gestionnaire du domaine européen de top level .eu, a lancé une application qui simplifie grandement la signature et la gestion des noms de domaine .eu avec le protocole de sécurisation internet DNSSEC. Le ‘DNSSEC Signing Service’ que le gestionnaire du domaine européen propose, est un service basé sur le nuage (‘cloud’) qui signe automatiquement les noms de domaine .eu au moyen du protocole de sécurisation et qui prévoit aussi un ‘re-calcul’ régulier des clés. Voilà qui devrait supprimer une grande partie de la complexité et du travail administratif qui vont souvent de pair avec l’implémentation du protocole DNSSEC.

“Grâce au DNSSEC Signing Service, nos registraires pourront aisément offrir une sécurité accrue à leurs clients .eu”, déclare Marc Van Wesemael, directeur général d’EURid. “En outre, nous espérons qu’un plus grand nombre de registraires implémentera DNSSEC.”

Selon Peter Janssen, CTO d’EURid, c’est là où le bât blesse. “Les registraires sont souvent dans l’impossibilité de faire face aux coûts liés à l’introduction de DNSSEC”, expliquait-il, il y a quelque temps, à Data News. “Dans ce sens, nous sommes demandeurs d’un service qui leur facilite la vie.”

Clés

DNSSEC introduit les ‘public key algoritmes’ dans le système des noms de domaine. En langage courant, cela signifie qu’une sorte de ‘clé’ numérique est associée à chaque réponse donnée par le système des noms de domaine.

Les personnes mal intentionnées ne peuvent dès lors plus ni polluer la cache ni attirer les surfeurs ne se doutant de rien vers des sites factices, car l’authenticité de l’information demandée est toujours vérifiée. Les internautes aboutissent donc en principe toujours à l’endroit qu’ils cherchent.

Pour être tout à fait hermétique, la chaîne doit cependant être entièrement fermée. Autrement dit, tous les maillons du processus d’enregistrement d’un nom de domaine doivent être signés avec ce genre de clé numérique.

EURid fut l’un des premiers acteurs sur le marché à pouvoir proposer DNSSEC sur tous les maillons du processus d’enregistrement (la zone racine .eu fut agréée le 15 juillet 2010), mais si une grande partie des agents ne suit pas et que l’utilisateur final n’est pas au courant, cela n’a guère de sens.

“L’on observe que la plupart des bureaux d’enregistrement adoptent aujourd’hui une même attitude”, ajoute encore Janssen. “Ils veulent tous mettre en oeuvre des services (en matière de signature et de re-calcul des clés DNSSEC) qui accélèrent l’adoption du mécanisme de sécurisation. Lorsque nous avons présenté pour la première fois notre idée en comité restreint, certains collègues tels SIDN (.nl) nous ont dit que leurs agents leur avaient demandé de concevoir quelque chose de similaire.”

Janssen se targue aussi du fait qu’EURid ne coupe pas l’herbe sous le pied des registraires qui implémentent DNSSEC. “Nous nous situons certes peut-être un peu dans le sillage d’entreprises commerciales qui proposent des services DNSSEC spéciaux, mais d’autre part, notre offre ne s’applique évidemment qu’aux noms de domaine .eu.”

Les coûts du nouveau service sont intégrés au prix standard d’un nom de domaine .eu (comprenez: le service est gratuit), même si le ‘signing service’ reste une option. “VeriSign (l’entreprise à l’initiative de .com) demande deux dollars pour les noms de domaine qu’elle ne gère pas elle-même, et propose le service gratuitement pour les noms de domaine en gestion propre”, affirme encore le technical manager. “D’autres modèles commerciaux verront encore le jour, mais je pense que la plupart des bureaux d’enregistrement proposeront la gratuité pour leur propre zone.”