DNSSEC et serveurs d'inscription

Chez Cloudflare, nous sommes enthousiastes à l'idée de rendre l'internet plus sûr grâce au déploiement à grande échelle de notre récente mise en œuvre du protocole DNSSEC. Cloudflare Universal DNSSEC fournit une authentification à un DNS qui ne serait pas sécurisé autrement, empêchant les attaques de l'homme du milieu et assurant aux visiteurs que leur connexion est acheminée en toute sécurité vers le bon serveur.

La confiance au sein des DNSSEC s'accordant de manière descendante (la zone racine vérifie les .com et la zone .com vérifie la zone cloudflare.com, et ainsi de suite), l'activation de DNSSEC implique que le propriétaire d'un site Web doive mettre à jour l'enregistrement DS auprès de vous, le serveur d'inscription.

Cette partie est problématique ; copier et coller l'enregistrement DS ouvre la voie à la possibilité d'erreur humaine et ajoute un niveau de complexité pour les utilisateurs moins expérimentés. Nous voulons rendre le DNSSEC aussi facile à déployer que possible.

Si Cloudflare pouvait communiquer directement avec le serveur d'inscription ou le registre, nous pourrions activer automatiquement DNSSEC pour chaque site Web sur Cloudflare et gérer leurs clés sans intervention humaine.

Dans le cadre du déploiement de notre DNSSEC, nous avons publié une version préliminaire pour internet parallèlement à l'ACEI (Autorité canadienne pour les enregistrements Internet), le registre .ca. qui propose un protocole permettant aux opérateurs DNS tels que Cloudflare de faire exactement cela : communiquer avec les serveurs d'inscription et les registres pour automatiser la gestion des DNSSEC.