DNSSEC pour .be au plus tôt en fin d’année

DNSSEC, le protocole de sécurité pour les ‘top level domains’ (tld, comme .be, .eu), pour .be est annoncé. “Au plus tôt pour la fin de l’année”, déclare Marc Van Wesemael, directeur de DNS BE. La Belgique serait ainsi l’un des premiers pays à l’adopter.

DNSSEC, le protocole de sécurité pour les ‘top level domains’ (tld, comme .be, .eu), pour .be est annoncé. “Au plus tôt pour la fin de l’année”, déclare Marc Van Wesemael, directeur de DNS BE. La Belgique serait ainsi l’un des premiers pays à l’adopter.

Nous [l’avions déjà annoncé sur notre site web], DNS BE va insister ces prochains mois sur la sécurité notamment. Le gestionnaire du nom de domaine .be s’est engagé à introduire le plus rapidement possible le protocole de sécurité DNSSEC (DNS security extensions) dans notre pays. Voilà ce qu’a affirmé Marc Van Wesemael, directeur de DNS BE, lors d’une rencontre avec les agents.

DNSSEC veillera à ce que vous puissiez vous fier à l’information en provenance du serveur de noms, parce qu’elle sera cryptée. Ce n’est là qu’une façon d’empêcher certains abus. Il s’agit ici tout particulièrement de ‘man-in-the-middle attacks’, où des surfeurs mal intentionnés vous dévient vers des sites factices en polluant la cache DNS (cfr. la [découverte de Dan Kaminsky] l’an dernier)

DNS BE est activement en train de tester le protocole, mais relève néanmoins encore quelques problèmes. C’est ainsi que le fichier de zone s’est nettement amplifié avec ces ‘clés’ supplémentaires. Il y a aussi le problème du ‘zonewalking’: DNSSEC rendrait publiques certaines informations qui ne devraient pas l’être, ce qui pourrait de nouveau créer une brèche dans la sécurité (par exemple pour les auteurs de spam). “Ce sera résolu avec NSEC3, mais personne ne possède encore d’expérience en la matière, sauf .org”, ajoute Van Wesemael. Enfin, DNS BE était l’un des premiers registres à autoriser les mises à jour dynamiques. C’est là une manière de réaliser quasiment en direct des adaptations sur un serveur DNS. Ce ne serait plus possible avec DNSSEC et cela exige donc une solution.

“Lorsque nous serons venu à bout de toutes ces difficultés, nous réunirons nos agents pour leur donner des explications plus concrètes lors d’une info-session”, poursuit Van Wesemael. “Ce sera en automne, probablement en novembre. Nous laisserons à nos agents le soin de fixer les dates d’introduction de DNSSEC chez eux. En faisant preuve d’un grand optimisme, je pense qu’on pourra démarrer son implémentation en fin d’année.”