DNSSEC améliore la confiance et l'intégrité de DNS. Souvent surnommé « l'annuaire téléphonique de l'Internet », DNS traduit les noms de domaine en adresses Internet numériques. Cependant, DNS est un protocole fondamentalement peu sécurisé. Il ne garantit pas la provenance des enregistrements DNS et accepte toute adresse qui lui est fournie, sans poser de questions.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
Cloudflare propose un DNSSEC facile à utiliser, et sa mise en place ne prend que quelques minutes.
S'inscrire maintenant
DNSSEC ajoute une couche de sécurité à un protocole qui serait peu sûr autrement en imposant une vérification des enregistrements DNS à l'aide de signatures cryptographiques. En contrôlant la signature associée à un enregistrement, les résolveurs DNS peuvent vérifier que les informations demandées proviennent du serveur de noms de référence et non d'un attaquant de type « homme du milieu ». Avec DNSSEC, les personnes qui visitent votre domaine ont la garantie de voir le contenu de votre site web et non celui du serveur web d'un autre utilisateur.
En savoir plus sur le fonctionnement de DNSSEC.
L'empoisonnement du cache DNS et la falsification des réponses constituent une vulnérabilité connue dans l'infrastructure DNS mondiale depuis le début de ce dernier, c'est ainsi qu'a été réalisée la célèbre attaque Kaminsky. L'empoisonnement du cache se produit lorsqu'un attaquant trompe un serveur de noms DNS en stockant des enregistrements incorrects. Tant que l'entrée de cache n'a pas expiré, ce serveur de noms renvoie les faux enregistrements DNS à tous ceux qui le demandent.
Cela permet à un attaquant de détourner le trafic à destination de votre site. Au lieu d'être dirigés vers votre site web lorsqu'ils inscrivent votre domaine dans un navigateur web, vos visiteurs sont dirigés vers le serveur de quelqu'un d'autre sans même savoir que quelque chose a mal tourné. Les attaquants peuvent utiliser le détournement du DNS pour réaliser des opérations de phishing, diffuser des publicités non sollicitées, surveiller le trafic Web et bloquer l'accès à des domaines spécifiques.
Si vous vous souciez de l'intégrité et de la réputation de votre site Web, vous devriez vous intéresser à DNSSEC.
DNSSEC ajoute une couche de sécurité à un protocole qui serait peu sûr autrement en imposant une vérification des enregistrements DNS à l'aide de signatures cryptographiques. En contrôlant la signature associée à un enregistrement, les résolveurs DNS peuvent vérifier que les informations demandées proviennent du serveur de noms de référence et non d'un attaquant de type « homme du milieu ». Avec DNSSEC, les personnes qui visitent votre domaine ont la garantie de voir le contenu de votre site web et non celui du serveur web d'un autre utilisateur.
Avec Universal DNSSEC, votre propriété web bénéficiera de :
DNSSEC empêche les attaques de type « homme du milieu » en établissant une chaîne de confiance jusqu'aux serveurs de noms DNS racine. Cette chaîne de confiance garantit que les enregistrements DNS qu'un visiteur a demandés n'ont pas été altérés en cours de route.
La mise en œuvre unique de DNSSEC de Cloudflare s'appuie sur l'elliptic curve cryptography pour empêcher les attaquants de parcourir votre zone et de découvrir des enregistrements DNS privés.
Les domaines de premier niveau (TLD) tels que .bank et .trust sont conçus pour inspirer confiance aux visiteurs. Pour ce faire, les propriétaires du domaine sont tenus de suivre divers protocoles de sécurité, notamment DNSSEC. Il peut s'avérer difficile et source d'erreur de mettre en œuvre DNSSEC par vos propres moyens. Cloudflare vous permet de remplir votre obligation DNSSEC en quelques clics seulement.
Cloudflare protège des milliards de demandes par jour avec DNSSEC. Cela représente chaque semaine des centaines de millions de personnes protégées contre l'empoisonnement du cache DNS et les attaques de type « l'homme du milieu ».
Universal DNSSEC s'appuie sur le réseau Cloudflare, qui a résisté à certaines des plus grandes attaques DDoS du monde. Nous avons même pris des précautions particulières pour nous assurer que notre mise en œuvre DNSSEC n'est pas utilisée de manière abusive pour des attaques d'amplification DDoS. Vous pouvez être certain que vos enregistrements DNS sont rendus aux visiteurs rapidement et efficacement, même lorsque
votre site web est attaqué.
Cloudflare a aidé Montecito Bank & Trust à sécuriser son domaine et à respecter les exigences de l'extension .bank. Lisez notre étude de cas pour en savoir plus
Universal DNSSEC est désormais disponible gratuitement pour tous les sites web sur Cloudflare. Nous nous occuperons des tâches les plus complexes, avec la signature de votre zone et la gestion des clés. Quelques clics suffisent pour protéger votre domaine contre les falsifications de DNS. Tout ce que vous avez à faire, c'est activer DNSSEC depuis votre tableau de bord Cloudflare et ajouter un enregistrement DNS à votre serveur d'inscription.
Une fois que votre serveur d'inscription publie l'enregistrement DS, votre domaine est compatible avec les DNSSEC. Vous pouvez vérifier votre configuration DNSSEC avec l'outil tiers DNSViz. Universal DNSSEC est conçu pour fonctionner harmonieusement avec toutes les autres fonctionnalités de sécurité et de performances de Cloudflare, notamment Universal SSL, un CDN mondial et l'optimisation automatique du contenu Web.