Le système de noms de domaine (DNS, Domain Name System) est l'annuaire téléphonique du web : il indique aux ordinateurs où envoyer et récupérer des informations. Malheureusement, il accepte également toute adresse qui lui est donnée, sans poser de questions.
Les serveurs de messagerie utilisent le DNS pour acheminer leurs messages, ce qui signifie qu’ils sont vulnérables aux problèmes de sécurité de l’infrastructure DNS. En septembre 2014, des chercheurs de l’établissement Carnegy Mellon University ont découvert que des e-mails supposés être acheminés par les serveurs de Yahoo!, Hotmail et Gmail transitaient par des serveurs de messagerie non autorisés. Les pirates informatiques exploitaient une vulnérabilité du système de noms de domaine (DNS) vieille de plusieurs décennies : ce système ne vérifie pas les informations d’identification avant d’accepter une réponse.
La solution est un protocole nommé DNSSEC, qui ajoute une couche de confiance au DNS en assurant l’authentification Lorsqu’un résolveur DNS recherche blog.cloudflare.com, les serveurs de noms .com aident le résolveur à vérifier les enregistrements renvoyés pour Cloudflare, et Cloudflare aide à vérifier les enregistrements renvoyés pour le blog. Les serveurs de noms DNS racines aident à vérifier .com, et les informations publiées par la racine sont vérifiées par une procédure de sécurité approfondie qui inclut le processus Root Signing Ceremony.
Comme HTTPS, DNSSEC ajoute une couche de sécurité en activant des réponses authentifiées en haut d'un protocole par ailleurs non sécurisé. Alors que HTTPS chiffre le trafic pour que personne en ligne ne puisse espionner vos activités sur Internet, DNSSEC se contente de signer les réponses pour que les falsifications soient détectables. DNSSEC apporte une solution à un problème réel sans qu'il soit nécessaire d'incorporer un chiffrement.
Cloudflare se donne pour objectif de faciliter autant que possible l'activation de DNSSEC. À l'heure actuelle, les clients ayant souscrit un abonnement Cloudflare peuvent ajouter DNSSEC à leurs propriétés web en basculant un interrupteur pour activer DNSSEC et en chargeant un enregistrement DS (que nous générerons automatiquement) à leur registrar. En savoir d'avantage sur l'obtention de DNSSEC.
Nous avons également publié un projet Internet expliquant comment les registres et les registrars peuvent charger automatiquement les enregistrements DS pour le compte de nos clients. Ainsi, Cloudflare pourra activer automatiquement DNSSEC pour l'ensemble de notre communauté. Veillez à consulter les mises à jour.
Configurez un domaine en moins de 5 minutes. Conservez votre fournisseur d'hébergement. Aucune modification du code n'est requise.
Prise en main
Ressources
Solutions
Communauté
Support
Société