DNSSEC améliore la confiance et l'intégrité du DNS. Souvent désigné comme l'annuaire téléphonique d'Internet, le DNS traduit les noms de domaines en adresses Internet numériques. Cependant, le DNS est un protocole par essence non sécurisé. Il ne garantit pas la provenance des enregistrements DNS, et accepte toute adresse qui lui est donnée, sans poser de questions.
Cloudflare propose un DNSSEC facile à utiliser, et il suffit de quelques minutes pour que le système soit opérationnel.
DNSSEC ajoute une couche de sécurité à un protocole qui serait peu sûr autrement en vérifiant les enregistrements DNS à l'aide de signatures cryptographiques. En contrôlant la signature associée à un enregistrement, les résolveurs DNS peuvent vérifier que les informations demandées proviennent du serveur de noms de référence et non d'un attaquant de type « homme du milieu ». Avec DNSSEC, les personnes qui visitent votre domaine ont la garantie de voir le contenu de votre site web et non celui du serveur web d'un autre utilisateur.
En savoir plus sur le fonctionnement de DNSSEC.
L'empoisonnement du cache DNS et la falsification des réponses constituent une vulnérabilité connue dans l'infrastructure DNS mondiale depuis le début de ce dernier, c'est ainsi qu'a été réalisée la célèbre attaque Kaminsky. L'empoisonnement du cache se produit lorsqu'un attaquant trompe un serveur de noms DNS en stockant des enregistrements incorrects. Tant que l'entrée de cache n'a pas expiré, ce serveur de noms renvoie les faux enregistrements DNS à tous ceux qui le demandent.
Cela permet à un attaquant de détourner le trafic à destination de votre site. Au lieu d'être dirigés vers votre site web lorsqu'ils inscrivent votre domaine dans un navigateur web, vos visiteurs sont dirigés vers le serveur de quelqu'un d'autre sans même savoir que quelque chose a mal tourné. Les attaquants peuvent utiliser le détournement du DNS pour réaliser des opérations de phishing, diffuser des publicités non sollicitées, surveiller le trafic Web et bloquer l'accès à des domaines spécifiques.
Si vous vous souciez de l'intégrité et de la réputation de votre site Web, vous devriez vous intéresser à DNSSEC.
DNSSEC ajoute une couche de sécurité à un protocole qui serait peu sûr autrement en vérifiant les enregistrements DNS à l'aide de signatures cryptographiques. En contrôlant la signature associée à un enregistrement, les résolveurs DNS peuvent vérifier que les informations demandées proviennent du serveur de noms de référence et non d'un attaquant de type home du milieu. Avec DNSSEC, les personnes qui consultent votre domaine ont la garantie de voir le contenu de votre site Web et non celui du serveur Web de quelqu'un d'autre.
Avec Universal DNSSEC, votre propriété web bénéficiera de :
DNSSEC empêche les attaques de type « homme du milieu » en établissant une chaîne de confiance jusqu'aux serveurs de noms DNS racine. Cette chaîne de confiance garantit que les enregistrements DNS qu'un visiteur a demandés n'ont pas été altérés en cours de route.
La mise en œuvre unique de DNSSEC de Cloudflare s'appuie sur la cryptographie à courbe elliptique pour empêcher les attaquants de parcourir votre zone et de découvrir des enregistrements DNS privés.
Les domaines de premier niveau (TLD) tels que .bank et .trust sont conçus pour inspirer confiance aux visiteurs. Pour ce faire, les propriétaires du domaine sont tenus de suivre divers protocoles de sécurité, notamment DNSSEC. La procédure de mise en œuvre de DNSSEC par vos propres moyens peut s'avérer difficile et source d'erreurs. Cloudflare vous permet de remplir votre obligation DNSSEC en quelques clics seulement.
Cloudflare protège des milliards de demandes par jour avec DNSSEC. Cela représente chaque semaine des centaines de millions de personnes protégées contre l'empoisonnement du cache DNS et les attaques de type « l'homme du milieu ».
Universal DNSSEC s'appuie sur le réseau Cloudflare, qui a résisté à certaines des plus grandes attaques DDoS du monde. Nous avons même pris des précautions particulières pour nous assurer que notre mise en œuvre DNSSEC n'est pas utilisée de manière abusive pour des attaques d'amplification DDoS. Vous pouvez être certain que vos enregistrements DNS sont rendus aux visiteurs rapidement et efficacement, même lorsque votre site web est attaqué.
Cloudflare a aidé Montecito Bank & Trust à sécuriser son domaine et à respecter les exigences de l'extension .bank. Lisez notre étude de cas pour en savoir plus
Universal DNSSEC est désormais disponible pour tous les sites web sur Cloudflare, et ce gratuitement. Nous assumerons les tâches les plus lourdes en signant votre zone et en gérant les clés. Il suffit de quelques clics pour protéger votre domaine contre les falsifications de DNS. Vous n'avez qu'à activer DNSSEC dans votre tableau de bord Cloudflare et ajouter un enregistrement DNS à votre serveur d'inscription.
Une fois que votre serveur d'inscription publie l'enregistrement DS, votre domaine est compatible avec les DNSSEC. Vous pouvez vérifier votre configuration DNSSEC avec l'outil tiers DNSViz.
Universal DNSSEC est conçu pour fonctionner harmonieusement avec toutes les autres fonctionnalités de sécurité et de performances de Cloudflare, notamment Universal SSL, un CDN mondial et l'optimisation automatique du contenu Web.
Configurez un domaine en moins de 5 minutes. Conservez votre fournisseur d'hébergement. Aucune modification du code n'est requise.
Service commercial
Premiers pas
Communauté
Développeurs
Support
Société