Forum nom de domaine

Forum nom de domaine (http://www.forumndd.com/)
-   Développement (http://www.forumndd.com/developpement/)
-   -   DNSSEC - votre avis ? (http://www.forumndd.com/developpement/11293-dnssec-avis.html)

Aliast 09/03/2016 00h48

DNSSEC - votre avis ?
 
Bonsoir,

Que pensez-vous de la protection DNSSEC ?

Avez-vous activé la protection de vos DNS anti Cache Poisoning ? Du moins sur vos projets non-parkés ?

Elle est gratuite et incluse notamment chez OVH, mais je m'interroge sur le besoin réel et sur les conséquences de cette protection.

Voici les quelques éléments de réponses glanés sur le net jusqu'à présent :
  • Il faut le désactiver DNSSEC avant de changer de Registrar sinon cela rendra HS le site internet (pas pratique si on change régulièrement de fournisseur)
  • Le poids du registre DNS incluant la clé de cryptage est forcément plus lourd qu'un registre simple sans clé, ce qui peut entrainer une lenteur supplémentaire lié au chargement (bien que certains fournisseurs comme Cloudflare arrivent à optimiser ce poids)
  • Les attaques DDoS semblent plus efficace sur les domaines sécurisés par DNSSEC en raison du poids du registre
  • Je trouve très peu de sites protégés par DNSSEC
  • Des registrars/serveurs DNS envisagent de l'activer par défaut

Vous l'aurez compris, je ne suis pas expert et du coup très mitigé sur la question. J'envisage de finalement désactiver DNSSEC sur mes domaines.

kate 09/03/2016 10h40

Re : DNSSEC - votre avis ?
 
Salut,

Question très intéressante et c'est difficile d'en débattre sans rentrer dans des considérations très techniques.
Pour simplifier, DNSSEC permet de s'assurer que la réponse à une requête DNS n'est pas spoofée, en clair que vous n'êtes pas victime d'une attaque MITM (man in the middle) qui viserait à vous diriger vers un site usurpateur.

Sur un réseau local c'est très facile de faire du spoofing DNS. Par exemple, si vous voulez aller sur mabanque.com, je peux facilement créer une page de phishing, et mettre en place un rogue resolver qui va vous renvoyer vers ma page, au lieu du vrai site de la banque.
Pour cela, le rogue resolver va tout simplement intercepter la requête [A] mabanque.com (ou [AAAA] mabanque.com: IPv6), et renvoyer une ou plusieurs adresses IP de mon choix, au lieu des vraies adresses...

Pour beaucoup de spécialistes, DNSSEC est trop complexe, trop lourd et difficile à déployer, et devrait être remplacé par autre chose.

A noter aussi pour les administrateurs: une erreur de configuration peut planter toute la zone.
Il est déjà arrivé que des TLDs entiers (exemple: .se) tombent à cause d'une erreur de configuration...

Pour ma part, je pense que ça a relativement peu d'intérêt, sauf peut-être pour un site 'critique'. Parce que comme tu dis, DNSSEC n'est pas très utilisé, son intérêt est limité.

D'autre part, je peux faire un site qui usurpe mabanque.com au niveau du DNS, mais seulement en HTTP. En HTTPS, je peux seulement présenter un certificat SSL 'self-signed', qui ne sera donc pas trusté par le navigateur.

Tu dis:
Citation:

Il faut le désactiver DNSSEC avant de changer de Registrar sinon cela rendra HS le site internet (pas pratique si on change régulièrement de fournisseur)
Ce que je prône, c'est d'utiliser un service externe pour héberger son DNS. Ca offre plus de souplesse et de redondance. Vous n'êtes pas obligé d'utiliser le DNS du registrar, mais évidemment c'est pratique pour beaucoup de gens.

Aliast 15/03/2016 12h35

Re : DNSSEC - votre avis ?
 
Merci Kate pour ces infos. Je viens de désactiver le DNSSEC sur tous mes ndd.

L'astuce d'un service externe pour les DNS est une excellente idée. Après, je n'ai pas encore trouvé de fournisseur gratuit / performant (je n'ai pas cherché de façon très poussé encore). Donc lorsque le registrar l'inclus déjà dans son offre, c'est difficile de se dire qu'il faut commander un service similaire ailleurs. Non ? Si tu as quelques adresses, je suis preneur :)

kate 15/03/2016 13h33

Re : DNSSEC - votre avis ?
 
Il y a quelques services gratuits :)
Par exemple dns.he.net
Mais le nombre de zones hébergées n'est pas illimité.
Je pense qu'il ne faut pas hésiter à payer pour des sites critiques ou si on a un grand nombre de zones à gérer.

Je suis en train de mettre en place mes propres serveurs DNS. Mon but serait de créer un système de landers pour les NDD en vente.
Pour avoir une bonne redondance il faut aussi disperser géographiquement les serveurs DNS, et sur des AS différents.

Pour rebondir sur ce que je disais plus haut:
L'intérêt de DNSSEC est relativement mitigé, parce que dans la pratique les sites sont validés par les clients/utilisateurs au moyen du certificat SSL/TLD (https).

Ca dépend de la requête que tu fais. Si tu demandes http://www.mabanque.com, je peux spoofer la réponse DNS et te diriger vers un site bidon ou toutes les pages sont http-only. Si tu demandes https://www.mabanque.com (par exemple en provenance de tes bookmarks), alors je ne pourrai pas présenter un certificat SSL valide pour le même NDD.

Par contre, beaucoup de gens ont tendance à ignorer les avertissements du browser, justement parce que beaucoup de sites utilisent des certificats self-signed :bash:

Il faut aussi garder en tête le fait que certains points d'accès wifi sont rogue, en clair ils sniffent vos données. Il est donc possible d'être confronté à du DNS spoofing, du MITM, de la réécriture de page à la volée, corruption d'exécutables etc :zoo_cat:
Il vaut mieux utiliser un VPN quand on utilise un réseau pas sûr.


Fuseau horaire : GMT +1. Il est 05h45.