Le système de noms de domaine (DNS, Domain Name System) est l'annuaire téléphonique du web : il indique aux ordinateurs où envoyer et récupérer des informations. Malheureusement, il accepte également toute adresse qui lui est donnée, sans poser de questions.
Les serveurs de messagerie utilisent le DNS pour acheminer leurs messages, ce qui signifie qu’ils sont vulnérables aux problèmes de sécurité de l’infrastructure DNS. En septembre 2014, des chercheurs de l’établissement Carnegy Mellon University ont découvert que des e-mails supposés être acheminés par les serveurs de Yahoo!, Hotmail et Gmail transitaient par des serveurs de messagerie non autorisés. Les pirates informatiques exploitaient une vulnérabilité du système de noms de domaine (DNS) vieille de plusieurs décennies : ce système ne vérifie pas les informations d’identification avant d’accepter une réponse.
La solution est un protocole nommé DNSSEC, qui ajoute une couche de confiance au DNS en assurant l’authentification Lorsqu’un résolveur DNS recherche blog.cloudflare.com, les serveurs de noms .com aident le résolveur à vérifier les enregistrements renvoyés pour Cloudflare, et Cloudflare aide à vérifier les enregistrements renvoyés pour le blog. Les serveurs de noms DNS racines aident à vérifier .com, et les informations publiées par la racine sont vérifiées par une procédure de sécurité approfondie qui inclut le processus Root Signing Ceremony.
Similar to HTTPS, DNSSEC adds a layer of security by enabling authenticated answers on top of an otherwise insecure protocol. Whereas HTTPS encrypts traffic so nobody on the wire can snoop on your Internet activities, DNSSEC merely signs responses so that forgeries are detectable. DNSSEC provides a solution to a real problem without the need to incorporate encryption.
Cloudflare’s goal is to make it as easy as possible to enable DNSSEC. All Cloudflare customers can add DNSSEC to their web properties by flipping a switch to enable DNSSEC and uploading a DS record (which we'll generate automatically) to their registrar.: Learn more about how to get DNSSEC.
We’ve also published an Internet Draft outlining an automated way for registries and registrars to upload DS records on behalf of our customers. This will enable Cloudflare to automatically enable DNSSEC for our entire community. Stay tuned for updates.