Forum nom de domaine  
  #1 (permalien)  
Ancien 09/03/2016, 00h48
Aliast (Déconnecté)
Membre
 
Inscrit : mai 2014
Messages: 46
Chats: 18
Question DNSSEC - votre avis ?

Bonsoir,

Que pensez-vous de la protection DNSSEC ?

Avez-vous activé la protection de vos DNS anti Cache Poisoning ? Du moins sur vos projets non-parkés ?

Elle est gratuite et incluse notamment chez OVH, mais je m'interroge sur le besoin réel et sur les conséquences de cette protection.

Voici les quelques éléments de réponses glanés sur le net jusqu'à présent :
  • Il faut le dĂ©sactiver DNSSEC avant de changer de Registrar sinon cela rendra HS le site internet (pas pratique si on change rĂ©guliĂšrement de fournisseur)
  • Le poids du registre DNS incluant la clĂ© de cryptage est forcĂ©ment plus lourd qu'un registre simple sans clĂ©, ce qui peut entrainer une lenteur supplĂ©mentaire liĂ© au chargement (bien que certains fournisseurs comme Cloudflare arrivent Ă  optimiser ce poids)
  • Les attaques DDoS semblent plus efficace sur les domaines sĂ©curisĂ©s par DNSSEC en raison du poids du registre
  • Je trouve trĂšs peu de sites protĂ©gĂ©s par DNSSEC
  • Des registrars/serveurs DNS envisagent de l'activer par dĂ©faut

Vous l'aurez compris, je ne suis pas expert et du coup trÚs mitigé sur la question. J'envisage de finalement désactiver DNSSEC sur mes domaines.
RĂ©pondre en citant
  #2 (permalien)  
Ancien 09/03/2016, 10h40
Avatar de kate
kate (Déconnecté)
Super Modérateur
 
Inscrit : mars 2008
Lieu: nord
Messages: 5 340
Chats: 14
Par défaut Re : DNSSEC - votre avis ?

Salut,

Question trÚs intéressante et c'est difficile d'en débattre sans rentrer dans des considérations trÚs techniques.
Pour simplifier, DNSSEC permet de s'assurer que la rĂ©ponse Ă  une requĂȘte DNS n'est pas spoofĂ©e, en clair que vous n'ĂȘtes pas victime d'une attaque MITM (man in the middle) qui viserait Ă  vous diriger vers un site usurpateur.

Sur un réseau local c'est trÚs facile de faire du spoofing DNS. Par exemple, si vous voulez aller sur mabanque.com, je peux facilement créer une page de phishing, et mettre en place un rogue resolver qui va vous renvoyer vers ma page, au lieu du vrai site de la banque.
Pour cela, le rogue resolver va tout simplement intercepter la requĂȘte [A] mabanque.com (ou [AAAA] mabanque.com: IPv6), et renvoyer une ou plusieurs adresses IP de mon choix, au lieu des vraies adresses...

Pour beaucoup de spĂ©cialistes, DNSSEC est trop complexe, trop lourd et difficile Ă  dĂ©ployer, et devrait ĂȘtre remplacĂ© par autre chose.

A noter aussi pour les administrateurs: une erreur de configuration peut planter toute la zone.
Il est déjà arrivé que des TLDs entiers (exemple: .se) tombent à cause d'une erreur de configuration...

Pour ma part, je pense que ça a relativement peu d'intĂ©rĂȘt, sauf peut-ĂȘtre pour un site 'critique'. Parce que comme tu dis, DNSSEC n'est pas trĂšs utilisĂ©, son intĂ©rĂȘt est limitĂ©.

D'autre part, je peux faire un site qui usurpe mabanque.com au niveau du DNS, mais seulement en HTTP. En HTTPS, je peux seulement présenter un certificat SSL 'self-signed', qui ne sera donc pas trusté par le navigateur.

Tu dis:
Il faut le désactiver DNSSEC avant de changer de Registrar sinon cela rendra HS le site internet (pas pratique si on change réguliÚrement de fournisseur)
Ce que je prĂŽne, c'est d'utiliser un service externe pour hĂ©berger son DNS. Ca offre plus de souplesse et de redondance. Vous n'ĂȘtes pas obligĂ© d'utiliser le DNS du registrar, mais Ă©videmment c'est pratique pour beaucoup de gens.
__________________
NameNewsletter.com - Noms de domaine disponibles | ZoneFiles.net - ccTLD & gTLD droplists
RĂ©pondre en citant
  #3 (permalien)  
Ancien 15/03/2016, 12h35
Aliast (Déconnecté)
Membre
 
Inscrit : mai 2014
Messages: 46
Chats: 18
Par défaut Re : DNSSEC - votre avis ?

Merci Kate pour ces infos. Je viens de désactiver le DNSSEC sur tous mes ndd.

L'astuce d'un service externe pour les DNS est une excellente idée. AprÚs, je n'ai pas encore trouvé de fournisseur gratuit / performant (je n'ai pas cherché de façon trÚs poussé encore). Donc lorsque le registrar l'inclus déjà dans son offre, c'est difficile de se dire qu'il faut commander un service similaire ailleurs. Non ? Si tu as quelques adresses, je suis preneur
RĂ©pondre en citant
  #4 (permalien)  
Ancien 15/03/2016, 13h33
Avatar de kate
kate (Déconnecté)
Super Modérateur
 
Inscrit : mars 2008
Lieu: nord
Messages: 5 340
Chats: 14
Par défaut Re : DNSSEC - votre avis ?

Il y a quelques services gratuits
Par exemple dns.he.net
Mais le nombre de zones hébergées n'est pas illimité.
Je pense qu'il ne faut pas hésiter à payer pour des sites critiques ou si on a un grand nombre de zones à gérer.

Je suis en train de mettre en place mes propres serveurs DNS. Mon but serait de créer un systÚme de landers pour les NDD en vente.
Pour avoir une bonne redondance il faut aussi disperser géographiquement les serveurs DNS, et sur des AS différents.

Pour rebondir sur ce que je disais plus haut:
L'intĂ©rĂȘt de DNSSEC est relativement mitigĂ©, parce que dans la pratique les sites sont validĂ©s par les clients/utilisateurs au moyen du certificat SSL/TLD (https).

Ca dĂ©pend de la requĂȘte que tu fais. Si tu demandes http://www.mabanque.com, je peux spoofer la rĂ©ponse DNS et te diriger vers un site bidon ou toutes les pages sont http-only. Si tu demandes https://www.mabanque.com (par exemple en provenance de tes bookmarks), alors je ne pourrai pas prĂ©senter un certificat SSL valide pour le mĂȘme NDD.

Par contre, beaucoup de gens ont tendance Ă  ignorer les avertissements du browser, justement parce que beaucoup de sites utilisent des certificats self-signed

Il faut aussi garder en tĂȘte le fait que certains points d'accĂšs wifi sont rogue, en clair ils sniffent vos donnĂ©es. Il est donc possible d'ĂȘtre confrontĂ© Ă  du DNS spoofing, du MITM, de la rĂ©Ă©criture de page Ă  la volĂ©e, corruption d'exĂ©cutables etc
Il vaut mieux utiliser un VPN quand on utilise un réseau pas sûr.
__________________
NameNewsletter.com - Noms de domaine disponibles | ZoneFiles.net - ccTLD & gTLD droplists
RĂ©pondre en citant
RĂ©pondre

Tags
dnssec

Outils du sujet
Affichage du sujet Noter ce sujet
Noter ce sujet:

RĂšgles des messages
Vous ne pouvez pas créer de sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas importer de fichiers joints
Vous ne pouvez pas modifier vos messages

BB codes : Activé
Smileys : Activé
BB code [IMG] : Activé
Code HTML : Désactivé
Trackbacks are Activé
Pingbacks are Activé
Refbacks are Activé


Sujets similaires
Sujet Auteur du sujet Forum RĂ©ponses Dernier message
votre avis sur porkbun ? barel Registrars & dropcatchers 1 19/01/2016 00h32
Le .eu.com votre avis? marine Discussions sur les extensions 6 01/12/2011 18h22


Fuseau horaire : GMT +1. Il est 10h21.

Forum protégé par le Code de la propriété littéraire et artistique.