Balises

En quoi le DNSSEC est-il différent du chiffrement ?

Personne tenant un smartphone et un appareil de paiement dans un restaurant

C'est une question que l'on entend souvent : « Le DNSSEC n'est-il pas identique au DNS chiffré ? »

Pas vraiment. Alors que le DNSSEC protège les réseaux contre les attaques de type « homme du milieu », il le fait grâce à la cryptographie à clé publique, qui est différente du chiffrement. En d’autres termes, le DNSSEC fournit une forme d’authentification, mais pas une forme de confidentialité.

En quoi la cryptographie à clé publique est-elle différente du chiffrement ?

Le DNSSEC utilise la cryptographie à clé publique pour « signer » ou authentifier numériquement les requêtes DNS. Lorsque le protocole DNSSEC est activé sur un enregistrement de zone, l’appareil destinataire peut comparer les informations qu’il reçoit aux informations d’origine envoyées par le serveur faisant autorité. Cela est rendu possible par une signature numérique qui utilise des clés publiques pour authentifier les données.

Dans le DNSSEC, les clés d’authentification sont protégées par la cryptographie, mais les données elles-mêmes ne sont pas protégées. Il est toujours possible d’intercepter et de lire le trafic protégé par le DNSSEC. Si les données sont altérées à un moment donné au cours de leur acheminement et transmises à leur destination, le serveur destinataire sera en mesure de détecter une anomalie, car les clés publiques ne correspondront pas.

Le chiffrement, quant à lui, utilise la cryptographie pour encoder les données elles-mêmes. Le chiffrement garantit la confidentialité en changeant ce qu’un pirate verrait s’il interceptait une requête quelque part le long du parcours de données. Elle rend ces données inintelligibles à moins que le pirate ne puisse déchiffrer le signal à l'aide d'une clé de chiffrement. Comme cette clé n’est pas partagée publiquement, le chiffrement protège les données contre toute manipulation.

Pourquoi le DNSSEC n’utilise-t-il pas le chiffrement ?

LeDNS est l’un des plus anciens protocoles Internet. Lorsqu’il a été créé, Internet était un endroit beaucoup plus petit où presque tout le monde se connaissait. La sécurité n'a été prise en compte qu'après coup.

Au moment où la sécurité d’Internet est devenue une préoccupation, le DNS était si largement utilisé que tout changement significatif aurait entraîné un arrêt brutal de l’ensemble du système. Plutôt que d’essayer de développer un protocole entièrement chiffré pour remplacer le DNS, il a été décidé d’intégrer un mécanisme d’authentification au système existant.

Le DNSSEC était un compromis. Il a rendu possible l’authentification des requêtes et des données, renforçant ainsi la sécurité du protocole. Mais il l’a fait sans changer le système sous-jacent, ce qui a permis à Internet de continuer à se développer sans avoir à repenser quoi que ce soit. Le déploiement du DNSSEC a été rendu facultatif afin que les entreprises puissent effectuer la transition si et quand elles le souhaitent.

Pourquoi utiliser le protocole DNSSEC s’il n’est pas chiffré ?

L’empoisonnement du cache DNS (également connu sous le nom d’usurpation de DNS) est une raison importante de déployer le DNSSEC. Dans une attaque par usurpation de DNS, une réponse non authentifiée est remplacée par une réponse légitime à une requête DNS. Cette réponse reste ensuite bloquée dans le cache, continuant à renvoyer la mauvaise réponse et dirigeant les utilisateurs vers des sites malveillants jusqu’à l’expiration de la durée de vie.

Le DNSSEC protège contre ces types d’attaques en authentifiant les réponses DNS, en veillant à ce que seules les réponses correctes soient renvoyées. Le chiffrement peut protéger les données sous-jacentes dans une connexion DNS, mais il ne protège pas contre une attaque par usurpation DNS.

Les personnes utilisent-elles le protocole DNSSEC s’il n’est pas chiffré ?

Malheureusement, seuls 20 % du trafic Internet (lien externe à ibm.com) sont validés via le DNSSEC. Bien qu’il s’agisse d’une augmentation significative par rapport à il y a quelques années seulement, on est encore loin du niveau souhaité. La combinaison de problèmes d’utilisation, de manque d’informations et de paresse explique cet écart important.

NS1 encourage fortement tous ses clients à déployer DNSSEC et promeut son utilisation via un processus de déploiement simple. Contrairement à d’autres fournisseurs, NS1 prend même en charge DNSSEC en tant que fournisseur secondaire ou en tant qu’option DNS redondante grâce à notre offre DNS dédiée.

Découvrez le bureau en tant que service sur IBM Cloud

Renforcez votre personnel hybride et en télétravail grâce au bureau en tant que service sur IBM Cloud, qui allie performances et sécurité, sans compromis.

Ressources

Maximiser les performances : l’importance de séparer le DNS de votre CDN

Découvrez comment la séparation du DNS et du CDN peut accroître les performances, les économies et la résilience. Apprenez pourquoi la gestion indépendante du DNS permet de mieux contrôler la direction du trafic, la surveillance des performances et la résilience sur plusieurs fournisseurs CDN.

Quatre points clés à évaluer lors du choix d’un fournisseur DNS externe

Choisir le bon fournisseur DNS est essentiel pour gérer le trafic, assurer la résilience et optimiser les performances. Découvrez les quatre facteurs clés à prendre en compte, du profil de risque et des besoins des développeurs à la gestion de plusieurs CDN et aux exigences de performance.

Comprendre le DNS géré : simplifier la gestion du trafic Internet

Découvrez comment le DNS géré améliore les performances et la sécurité, réduisent la latence et rationalisent vos opérations. Découvrez les différences entre le DNS géré et autogéré, et explorez les principaux avantages pour votre entreprise.

Le DNS auto-hébergé faisant autorité est-il adapté aux grandes entreprises ?

Explorez les avantages et les défis du DNS auto-hébergé faisant autorité pour les grandes entreprises. Découvrez les complexités masquées de l’auto-hébergement et pourquoi les solutions DNS gérées pourraient être la meilleure solution en termes d’évolutivité, de résilience et de rentabilité.

Solutions connexes

IBM NS1 Connect

IBM NS1 Connect est un service cloud entièrement géré pour le DNS d’entreprise, le DHCP, la gestion des adresses IP et la direction du trafic des applications.

Découvrir NS1 Connect

Solutions de mise en réseau

Les solutions de mise en réseau cloud d’IBM assurent une connectivité haute performance pour alimenter vos applications et vos activités.

Découvrir les solutions de mise en réseau cloud

Services de support réseau

Consolidez le support des centres de données avec IBM Technology Lifecycle Services pour la mise en réseau cloud et plus encore.

Services de mise en réseau cloud

Passez à l’étape suivante

Renforcez la résilience de votre réseau avec IBM NS1 Connect. Lancez-vous avec un compte développeur gratuit pour explorer les solutions DNS gérées ou réservez une démo en direct pour découvrir comment notre plateforme peut optimiser les performances et la fiabilité de votre réseau.

Découvrir les services DNS gérés

Réserver une démo en direct