Le DNSSEC pour sécuriser son nom de domaine 🔐

Si vous êtes titulaire d’un nom de domaine, vous avez forcément déjà entendu parler du DNS : l’infrastructure clé qui donne vie aux sites web. Mais connaissez-vous le DNSSEC ?

Dans cet article, nous vous proposons dans un premier temps de revenir sur le fonctionnement du DNS et ses vulnérabilités, puis de comprendre pourquoi la mise en place du protocole DNSSEC est indispensable pour sécuriser votre nom de domaine.

Fonctionnement des serveurs DNS

Qu’est-ce que le système DNS ?

Le DNS, ou Système de Noms de Domaine (“Domain Name System”), peut être comparé à un énorme annuaire du web composé de nombreux serveurs, qui recense toutes les adresses Internet et leurs adresses IP.

On appelle résolution DNS le processus qui traduit un nom de domaine (netim.com) en adresse IP (172.66.43.171). Pour mieux comprendre, voici une version simplifiée des étapes de ce processus :

1. 1. Lorsque vous accédez à netim.com, votre navigateur (le client réseau), envoie une requête au résolveur DNS.
   2. Le résolveur DNS interroge les serveurs DNS.
   3. Premièrement, les serveurs racine qui orientent la requête vers les serveurs TLD correspondants ;
   4. Puis, les serveurs TLD  (les serveurs du registre en charge de l’extension) qui gèrent les domaines de premier niveau comme .com, .org ou .fr, et qui renvoient vers les serveurs autoritaires (ou serveurs de noms) ;
   5. Et enfin les serveurs autoritaires (ou serveurs de noms) qui contiennent toutes les informations exactes du domaine recherché (enregistrements A, MX, CNAME…), et qui renvoient l’adresse IP correspondante.

Quelles sont les vulnérabilités du DNS ?

Le système DNS que nous venons d’exposer est le système qui régit l’ensemble du réseau internet depuis 1985. A ce titre, vous imaginez bien que les enjeux et les risques ont évolué au fil des années.

Aujourd’hui, plusieurs dangers menacent l’authenticité des réponses DNS, visant à les falsifier ou les détourner vers de mauvaises adresses IP, souvent malveillantes. C’est ce qu’on appelle du DNS Spoofing (usurpation de DNS). Voici les 2 principales méthodes d’usurpation de DNS :

L’empoisonnement du cache DNS (DNS Cache Poisoning)

Les termes empoisonnement du cache DNS et usurpation de DNS sont souvent utilisés de manière interchangeable. Finalement, nous pouvons plutôt dire que l’usurpation de DNS est le but final recherché par l’empoisonnement du cache.

L’empoisonnement du cache DNS est une attaque qui consiste à injecter de fausses données dans le cache du résolveur DNS. Ainsi, lorsqu’un utilisateur lance une requête, ce n’est pas la bonne adresse IP qui lui est renvoyée.

Ainsi, le cybercriminel peut configurer un site presque identique visuellement à l’original, vous incitant à vous authentifier, dans le but de recueillir vos informations (identifiant, mot de passe, données personnelles…etc). C’est ce que l’on appelle du phishing ou hameçonnage.

L’attaque Man-In-The-Middle (MITM)

La cyberattaque de « l’homme du milieu » aboutit à la même conséquence que l’empoisonnement de cache DNS : l’usurpation de DNS. Seule la manière de procéder diffère.

L’attaque Man-In-The-Middle consiste à intercepter une requête DNS en transit entre le résolveur et le client (par exemple sur un réseau Wi-Fi non sécurisé), et renvoie une réponse falsifiée plus rapidement que le serveur légitime. Ici aussi, les risques sont le hameçonnage ou la propagation de virus informatique.

🤔 Alors, comment faire pour garantir l’authenticité des réponses DNS et se protéger contre le DNS Spoofing ? Le DNSSEC apparaît comme une solution efficace 👇

Le protocole de sécurité DNSSEC

Qu’est-ce que le DNSSEC ?

Depuis sa naissance, le système DNS est dénué de tout protocole d’authentification, l’exposant ainsi à des failles qui compromettent la sécurité des utilisateurs. A ce titre, le protocole DNSSEC (« Domain Name System Security Extensions ») a vu le jour dans le but de renforcer la sécurité des connexions, en assurant l’intégrité des réponses DNS.

Lorsque le DNSSEC est activé, les échanges entre le résolveur DNS et les serveurs se déroulent toujours de la même manière, à la différence que le DNSSEC vient ajouter des étapes de vérification pour garantir l’authenticité des adresses IP visitées.

Pour cela, le DNSSEC ajoute des signatures cryptographiques aux enregistrements DNS d’un nom de domaine (A, AAAA, MX, CNAME…). Ces signatures sont stockées dans les serveurs de noms DNS.

Comment fonctionne le DNSSEC ?

Dans un premier temps, il s’agit pour le détenteur d’un nom de domaine (par exemple : netim.com), d’activer le DNSSEC auprès de son registrar ou de son gestionnaire de domaine.

Une fois le DNSSEC activé, les enregistrements DNS sont signés numériquement dans le fichier de zone, qui contiendra désormais de nouveaux enregistrements DNSSEC (RRSIG, DNSKEY, DS etc…), qui complètent les enregistrements habituels (A, AAAA, MX, CNAME…).

Ainsi, lorsqu’un résolveur DNS reçoit une requête, il vérifie la signature à l’aide d’une chaîne de confiance qui reprend les étapes de la résolution DNS dans le chemin inverse (voir schémas ci-dessus et ci-dessous).

La chaîne de confiance du protocole DNSSEC

Voici un résumé des étapes du processus de vérification que déclenche le DNSSEC :

Du côté des enregistrements DNS du domaine, à l’activation du DNSSEC :

1. Le protocole DNSSEC génère des signatures pour chaque enregistrement du fichier de zone via une paire de clés publique et privée : c’est la ZSK (la clé de signature de zone : “Zone Signing Key”).Quand un enregistrement est signé avec la ZSK, un enregistrement RRSIG (“Resource Record Signatures”) est créé, et la clé ZSK est publiée dans l’enregistrement DNSKEY.
2. Parallèlement, une clé est générée pour signer la ZSK elle-même : c’est la KSK (une clé de signature de clés : “Key Signing Key”). La KSK signe donc l’enregistrement DNSKEY (dans laquelle est stockée la ZSK), ce qui génère un nouvel enregistrement que l’on appelle RRSIG sur DNSKEY.
3. La clé KSK est alors chiffrée et stockée dans un enregistrement DS (Delegation Signer) publié dans la zone parente. Par exemple, si le résolveur DNS interroge les enregistrements de netim.com sur le serveur autoritaire (ou serveur de noms), alors l’enregistrement DS sera publié dans la zone parente, c’est-à-dire le serveur TLD du .com (voir schéma ci-dessous).

Du côté du résolveur DNS, lors d’une requête de nom de domaine :

1. En premier lieu, le résolveur DNS récupère l’enregistrement DNS et sa signature (enregistrement RRSIG), ainsi que sa clé ZSK stockée dans l’enregistrement DNSKEY. Il utilise la clé ZSK pour vérifier la signature RRSIG.
2. Le résolveur a maintenant besoin de vérifier si la clé ZSK est authentique à l’aide de la clé KSK. Pour cela, il consulte l’enregistrement RRSIG sur DNSKEY.
3. Enfin, le résolveur vérifie l’authenticité de la clé KSK grâce à l’enregistrement DS publié dans la zone parente (soit le serveur TLD), et s’assure qu’ils correspondent.
4. La chaîne de confiance se répète de la même manière pour le .com, pour lequel l’enregistrement DS se situe dans le serveur racine. 🔒 La zone racine DNS étant le point de départ de toute la chaîne, son authentification s’effectue au moyen d’une clé publique que l’on appelle Trust Anchor et qui est directement stockée dans le résolveur DNS, comme un certificat intégré.

💡 Finalement, nous pouvons retenir que l’activation du protocole DNSSEC, grâce à une chaîne de confiance constituée de clés publiques et privées, permet de sécuriser l’accès à un nom de domaine en garantissant l’IP renvoyée.

Un nouveau Trust Anchor pour 2026

Comme nous venons de le voir, la chaîne de confiance DNSSEC repose sur une validation finale ultime : la clé publique de la racine DNS, aussi appelée Trust Anchor. C’est grâce à elle que les résolveurs peuvent valider toutes les signatures jusqu’au sommet de la hiérarchie DNS.

Mais comme toute clé cryptographique, elle doit être renouvelée régulièrement pour garantir un haut niveau de sécurité.

C’est pourquoi l’ICANN a publié en août 2024 une nouvelle version de la Trust Anchor, dont l’activation est prévue pour 2026. Cette rotation, appelée Root KSK Rollover, est un événement rare, mais essentiel pour la sécurité globale du web.

Ce processus de renouvellement s’inscrit dans le cadre des cérémonies de clés DNSSEC, organisées dans des conditions extrêmement sécurisées et transparentes (filmées, documentées et encadrées par plusieurs opérateurs spécialisés). Si vous souhaitez découvrir comment se déroule une Root KSK Ceremony, vous pouvez consulter le compte-rendu et la vidéo de la 55e cérémonie officielle de l’IANA.

🖊️ Découvrez tous nos articles liés aux noms de domaine.
📧 N’oubliez pas de vous inscrire à notre newsletter depuis votre espace client Netim Direct pour recevoir toutes nos actualités et nos promotions !