DNSSEC
Qu'est-ce que DNSSEC ?
DNSSECEnsemble d'extensions du DNS qui utilise des signatures numériques pour permettre aux résolveurs de vérifier l'authenticité et l'intégrité des enregistrements DNS.
DNSSEC (Domain Name System Security Extensions) ajoute des signatures cryptographiques aux enregistrements DNS afin que les résolveurs puissent prouver qu'une réponse provient de la zone légitime et n'a pas été altérée en transit. Chaque zone signe ses enregistrements avec une clé privée et publie la clé publique correspondante dans des enregistrements DNSKEY, tandis qu'une chaîne de confiance est construite depuis la racine via des enregistrements DS à chaque délégation. Les résolveurs validateurs rejettent les réponses dont la signature est invalide ou absente, ce qui neutralise l'empoisonnement de cache DNS et l'usurpation en chemin. DNSSEC n'apporte pas de confidentialité et doit être combiné à DoH ou DoT pour masquer les requêtes aux observateurs.
● Exemples
- 01
Une banque signe sa zone afin que les résolveurs rejettent les enregistrements A falsifiés provenant d'un cache empoisonné.
- 02
Les registres de domaines de premier niveau publient des enregistrements DS pour ancrer la chaîne de confiance des zones déléguées.
● Questions fréquentes
Qu'est-ce que DNSSEC ?
Ensemble d'extensions du DNS qui utilise des signatures numériques pour permettre aux résolveurs de vérifier l'authenticité et l'intégrité des enregistrements DNS. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie DNSSEC ?
Ensemble d'extensions du DNS qui utilise des signatures numériques pour permettre aux résolveurs de vérifier l'authenticité et l'intégrité des enregistrements DNS.
Comment se défendre contre DNSSEC ?
Les défenses contre DNSSEC combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de DNSSEC ?
Noms alternatifs courants : Extensions de sécurité du DNS.