Signature de domaine (DNSSEC)

Pourquoi

Ci-dessous, vous trouverez quelques liens vers des descriptions d'incidents connus que DNSSEC aurait probablement pu empêcher.

• "Attaque d'empoisonnement de cache piège la plus grande banque brésilienne"
• "Eircom révèle qu'une attaque d''empoisonnement de cache' par un pirate a causé des pannes"
• "Les empoisonnements de cache DNS imposent des attaques de malware aux Brésiliens"
• "Probable empoisonnement de cache des domaines de gestion de courrier"
• "Ni neige ni pluie ni MITM... Une analyse empirique de la sécurité de livraison d'email"

Voici une citation de la dernière publication de recherche mentionnée :

La sécurité du courrier, comme celle de nombreux autres protocoles, est intrinsèquement liée à la sécurité de la résolution DNS. Plutôt que de cibler le protocole SMTP, un attaquant réseau actif peut usurper les enregistrements DNS d'un serveur de courrier de destination pour rediriger les connexions SMTP vers un serveur sous le contrôle de l'attaquant. [...] Nous trouvons des preuves que 178 439 sur 8 860 639 (2,01%) serveurs DNS accessibles publiquement ont fourni des IP ou des enregistrements MX invalides pour un ou plusieurs de ces domaines.

Statistiques d'utilisation

• Statistiques .nl sur DNSSEC par SIDN Labs
• Mesure de validation DNSSEC par APNIC
• Rapport de déploiement DNSSEC

Informations générales

• FAQ sur DNSSEC par SIDN
• Deploy360 d'ISOC sur DNSSEC
• DNSSEC.net
• Wikipedia sur DNSSEC
• Partage de connaissances et instanciation de normes pour la sécurité DNS et de nommage (KINDNS)

Spécifications

• RFC 4033: Introduction et exigences de sécurité DNS
• RFC 4034: Enregistrements de ressources pour les extensions de sécurité DNS
• RFC 4035: Modifications de protocole pour les extensions de sécurité DNS
• RFC 8624: Exigences d'implémentation d'algorithme et conseils d'utilisation pour DNSSEC
• RFC 9276: Conseils pour les paramètres NSEC3