Vision du web. La réponse collaborative.

Gagner des Bitcoins.

Gagner des Bitcoins !
Le HackerSpace Vision du web.
La réponse collaborative.
Le glider des Hackers.
Un symbole de rassemblement.
QWERTY.
Du clavier au terminal.
GNU / Linux Debian.
La distribution universelle.
GNU / Linux Ubuntu.
Linux pour les êtres humains.
GNU / Linux Arch.
Un Linux léger et flexible.
Nom de code Linux.
Documentaire FR.

Le montant des donations pour Vision du web est de 0.027769337601739 Monero.

Soutenir Vision du Web dans son partage de logiciels et de ressources libres

Ce mineur crée de la monnaie numérique Monero pour soutenir Vision du web.
Merci de désactiver votre bloqueur de publicité.
Aucune publicité ne sera affichée.
Le mineur utilise les ressources de votre machine pour créer gratuitement de la monnaie numérique.

Vous n´êtes pas identifié(e).

Nous sommes le samedi 16 décembre 2017. Il est .

Nous avons 144 invités et aucun membre en ligne

 
HackerSpace !

Serveur Web

Protocole DNSSEC

Le protocole DNSSEC est compatible avec le système DNS et vise à sécuriser une partie de l’infrastructure du réseau Internet.

 

Le système DNS

Des noms de domaine avec des lettres pour les humains, vers des chiffres utilisés par les ordinateurs pour trouver la destination.

 

Des vulnérabilités dans le système DNS

Prise de contrôle de la session et envoyer la victime vers un site frauduleux pirate pour récupérer le compte et le mot de passe.
Il faut mettre en place DNSSEC à chaque étape de la requête du client, de la zone racine jusqu'au nom de domaine final.
La technologie DNSSEC permet d’apposer une « signature » numérique aux données et garantit ainsi à l’utilisateur la validité de ces données.
Cette technologie ne chiffre pas les informations.
D’autres technologies comme le protocole SSL (https:) sécurise la « conversation » et fournit une plate-forme pour d’autres améliorations de sécurité à venir.

 

La zone racine

Quand on lance www.google.com avec son navigateur :
- Le premier endroit où le système DNS cherche les informations pour .com est le premier niveau du service d’annuaire ( ou « zone racine » ).
- Une fois la réponse obtenue, il demande au service d’annuaire « .com », identifié par la racine, où trouver les renseignements sur .google.com (le second niveau).
- Enfin, il demande au service d'annuaire google.com, identifié par « .com », l’adresse de www.google.com (le troisième niveau).

 

Pourquoi signer la racine

DNSSEC protège une partie cruciale : la consultation d’annuaires.
Le déploiement complet de DNSSEC assure que l’utilisateur se connecte vraiment au site Web ou au service qui correspond au nom de domaine.

 

Que se passe-t-il quand on signe la racine

Une clé et une signature qui atteste de la validité de la clé sont ajoutés au fichier de zone racine.
DNSSEC incorpore une chaîne de signatures numériques à la hiérarchie DNS et chaque niveau possède ses propres clés de génération de signatures.
La seule clé nécessaire à la validation du nom de domaine complet est le parent au niveau le plus haut : la clé racine.

Le déploiement complet du protocole DNSSEC sur l’ensemble des noms de domaine sera un long processus.
La signature de la racine n’est qu’un début, mais d’importance cruciale.
Les opérateurs de TLD accentuent leurs efforts de déploiement des extensions de sécurité DNSSEC dans leurs zones.

 

La gestion de la racine est partagée entre quatre entités

L’ICANN reçoit et évalue les informations des opérateurs des domaines de premier niveau (TLD) comme « .com ».
L’ICANN, organisation internationale à but non lucratif sous contrat avec le Département du commerce des États-Unis, assume les fonctions de l’IANA.
IANA ( Internet Assigned Numbers Authority ) est l’autorité chargée de la gestion de l'adressage sur l’Internet.

La NTIA qui est une fonction du Département du commerce des États-Unis, autorise les modifications de la racine.

VeriSign, entreprise dont le siège est aux États-Unis et dont le rôle défini par un accord avec le gouvernement américain est de mettre à jour la zone racine.
Les informations de modification sont fournies et authentifiées par l’ICANN et autorisées par le Département du commerce.
Le rôle de VeriSign est aussi la distribution du fichier de zone racine qui contient les informations de localisation des domaines de premier niveau (TLD) comme « .com ».

Un groupe international d’opérateurs de serveurs racines qui possèdent et exploitent plus de 200 serveurs dans le monde sur une base non lucrative.
Ces serveurs diffusent les informations de racine provenant du fichier de zone racine à l’ensemble de l’Internet.
Les opérateurs de serveurs racines, chacun associé à une lettre :
A) VeriSign Global Registry Services
B) l’institut Information Sciences Institute de l’Université de Californie du sud
C) Cogent Communications
D) l’Université du Maryland
E) le centre de recherche Ames de la NASA
F) Internet Systems Consortium Inc
G) le centre d’information Network Information Center du Département de la défense des États-Unis
H) le laboratoire de recherche de l’armée américaine Army Research Lab
I) Autonomica/NORDUnet en Suède
J) VeriSign Global Registry Services
K) RIPE NCC aux Pays-Bas
L) l’ICANN
M) WIDE Project au Japon

 

A quoi correspondent « KSK » et « ZSK » ?

Pour les personnes familiarisées avec les méthodes de chiffrement à clé publique, DNSSEC est une forme de PKI ( Public Key Infrastructure ).

ZKS est l’abréviation de « Zone Signing Key », une clé utilisée à plus court terme.
KSK est l’abréviation de « Key Signing Key », une clé utilisée sur le long terme.

Avec assez de temps et de données la sécurité des clés de chiffrement DNSSEC peut être compromise.
Un pirate détermine par force brute ou d’autres méthodes la moitié privée de la paire de clés publique / privée qui sert à créer les signatures attestant de la validité des DNS.

DNSSEC esquive ces tentatives de hack par l’utilisation d’une clé à court terme (ZSK) qui sert à l’exécution des routines de calcul de signatures pour les enregistrements DNS.
Une clé à long terme (KSK) sert pour le calcul d’une signature sur la clé ZSK pour lui permettre d’être validée.

La clé ZSK est changée fréquemment ou renouvelée de manière à ce qu’elle soit difficile à « deviner ».
La clé KSK, plus longue, est changée à des intervalles de temps plus longs, chaque année, par exemple.

La clé KSK signe la clé ZSK, la clé ZSK signe les enregistrements DNS, seule la clé KSK est nécessaire à la validation d’un enregistrement de DNS de la zone.
Si le protocole DNSSEC est entièrement adopté, la clé KSK de la zone racine fera partie de la chaîne de validation de chaque nom de domaine validé par DNSSEC.

 

Qui gère les clés ?

L’ICANN conserverait l’infrastructure des clés.

Les informations d’identification servant à générer les clés KSK seraient conservées par des tierces parties.
Ceci constitue un élément important de l’acceptation générale de ce processus au niveau mondial.

L’ICANN n’a pas proposé de solution spécifique quant aux entités qui devraient conserver ces informations d'identification.
Pour l'ICANN ceci, ainsi que d'autres problématiques, relèvent d’un processus de consultation publique et de la décision du Département du commerce des États-Unis.

 

Vérifier que DNSSEC est correctement déployé pour votre domaine

Installer une extension Firefox qui permet de vérifier si les sites que vous visitez sont sécurisés par DNSSEC. Si oui, affichage du résultat de la validation.
Installer l'extension DNSSEC Validator pour Firefox : ICI

REMARQUE ! Ce site utilise des cookies et autres technologies similaires.

Si vous ne changez pas les paramètres de votre navigateur, vous êtes d'accord. En savoir plus

J'ai compris

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de Cookies pour vous proposer un accès membre personnalisé et réaliser des statistiques de visites.

Vision du web sur votre réseau social

Les liens de l'annuaire

La plus parfaite éducation consiste à habituer le disciple à se passer de maître.
[Robert Sabatier]

Votre hébergement internet avec LWS.