DNSSEC est une fonctionnalité du système de noms de domaine (DNS) qui authentifie les réponses aux recherches de noms de domaine. Elle empêche les attaquants de manipuler ou d'empoisonner les réponses aux requêtes DNS. La technologie DNS n'a pas été conçue dans un souci de sécurité. Un exemple d'attaque contre l'infrastructure DNS est le DNS spoofing. Dans ce cas, un attaquant détourne le cache d'un résolveur DNS, ce qui fait que les utilisateurs qui visitent un site Web reçoivent une adresse IP incorrecte et affichent le site malveillant de l'attaquant au lieu de celui qu'ils voulaient.
Lorsque vous activez DNSSEC, nous générons une clé publique et une clé privée pour votre zone. La clé publique vous est fournie sous la forme de records DS ou DNSKEY. Les records doivent être configurés chez le fournisseur de domaine, où le nom de domaine est enregistré. Pendant le déploiement de votre zone dans notre réseau, nous utiliserons la clé privée pour signer tous vos records. Ces signatures seront reçues et vérifiées par le résolveur de l'utilisateur final si elles correspondent aux clés publiques et le résolveur sera en mesure d'authentifier que les records ne sont pas manipulés pendant le transfert du réseau.
The main purpose of DNSSEC is to keep the users safe. That happens after the user types the domain name in the browser and the resolver verifies the digital signature. Only when the digital signatures in the data and those in the Primary DNS server match the information can reach the user's device. That way, it guarantees that the user is connecting with the legitimate website.
DNSSEC implements a combination of digital signatures and public keys to validate the information, and it adds new records to the existing DNS records. DNSKEY and RRSIG digitally "sign" the DNS data using a public-key cryptography technique. They stick to the other popular records, like A, CNAME, and MX.
The name server holds the public and private keys for each DNS zone. So, when a user makes a query, the server provides the information signed with its private key. Then the recipient has to open it with the public key. That way, if the information is modified and misleading, it won't open correctly with the public key. As a result, the recipient is going to receive an error message.
Les services de gestion DNSSEC font partie de nos plans de hosting DNS - Premium DNS, DDoS protégé DNS, et GeoDNS. Pas de frais supplémentaires pour une meilleure sécurité!
Premium S $2.95/mois |
Premium M $4.95/mois |
Premium L $14.95/mois |
|
---|---|---|---|
DNS Anycast géré avec DNSSEC: ? | |||
Zones DNS: ? | 5 | 75 | 400 |
Records DNS: ? | 200 | 3,500 | 20,000 |
Requetes DNS par mois: ? | 5M i | Illimité | Illimité |
Transfer d'email: ? | 10 | 150 | 1,000 |
DNS Failover et Contrôles de monitoring: ? | 1 | 2 | 3 |
Essai totalement gratuit. Aucune carte de crédit requise. |
Il suffit de cliquer sur le bouton d'activation dans le panneau de contrôle, et notre système sécurisera la zone. Il ne vous restera plus qu'à ajouter les records DS chez le fournisseur, et la configuration sera terminée.
Nous utilisons l'Algorithme de Courbe Elliptique (ECDSA P-256) pour toutes les signatures, qui est plus fort et plus petit que les clés RSA standard.
Garder les réponses DNS aussi petites que possible signifie une vitesse plus rapide pour vous ! En outre, notre Réseau DNS Anycast fournit des réponses plus rapides à partir de l'emplacement le plus proche du résolveur.
Peu importe le jour, peu importe le moment, nous assurons une surveillance et un soutien du réseau continus et ininterrompus. Notre équipe de support technique est en ligne pour vous 24/7 par chat en direct et tickets. Nous pouvons migrer vos zones gratuitement, plus d'informations ici.
Pour activer la signature DNSSEC et obtenir les enregistrements DS du domaine, vous devez vous connecter à votre panneau de contrôle et naviguer vers la zone. Dans le panneau de contrôle de la zone, vous verrez un menu en haut appelé "DNSSEC". À partir de cette page, vous pouvez activer ou désactiver la signature de zone DNSSEC. Nous vous recommandons de consulter notre DNSSEC wiki page pour trouver des informations plus détaillées sur la mise en œuvre de DNSSEC !
DNSSEC provides a way for authenticating DNS response data. When you want to connect to a particular website, your browser should get the corresponding IP address. Unfortunately, there is a chance an attacker to intercept your DNS queries and place fake information. As a result, your browser will connect to a forged website where you could potentially enter personal information, like bank details.
Thanks to DNSSEC, there is an additional level of security, and your browser is able to check if the DNS data is actually correct and not changed. In addition, DNSSEC is used not only for the web but also by any other Internet service or protocol, for instance, SMTP and Voice-over- IP (VoIP).
DNSSEC validation is a simple process that includes the following steps: