Verso DNS sicuri?

Elaborato nei primi anni '80 per facilitare gli scambi sul Web, il DNS (Domain Name System) permette di recuperare l'indirizzo IP di un sito internet a partire dal suo nome, o di localizzare un posto preciso o inviare una mail, per esempio. In quegli anni, il numero di utenti di internet non si avvicinava nemmeno ai 2 miliardi attuali: la sicurezza del DNS quindi non si pose mai come problema. I DNS hanno numeri problemi di sicurezza, come conferma Stéphane Lesimple: « Non esiste alcun metodo di verifica dei DNS, a nessun livello. Ecco il problema attuale, un hacker può inserire informazioni false nella cache di un DNS reindirizzando tutti i utenti di un provider verso uno stesso sito non valido o, ad esempio, intercettare le richieste e rispondere in modo non corretto. Attacco che può rivelarsi molto pericoloso quando un cliente si connette al sito della sua banca, ad esempio. »

Uno strumento per rendere sicure le risposte dei DNS

Il Domaine Name System Security Extension, o DNSSEC, è stato creato per mettere in sicurezza e autenticare le risposte DNS richieste. L'utente è sicuro che la risposta alla sua richiesta, un indirizzo IP, proviene da un DNS del dominio e che la non è stata modificata da altri.

Il DNSSEC è basato su un sistema di chiavi: una chiave privata, in cui sono memorizzati i dati, e una chiave pubblica che ne autentica la provenienza. In caso di richiesta DNS sicura effettuata con DNSSEC, il sistema di verifiche crittografiche autentica le risposte di ogni zona. In breve, i dati del server root sono contrassegnati da una chiave, che a sua volta è firmata da un'altra chiave. Funziona così anche per ogni zona DNS.

Oggi, la zona root è già contrassegnata, è necessario che i registri implementino il DNSSEC. Un'operazione che può richiedere del tempo, spiega Stéphane: « Il DNSSEC è abbastanza complicato da impostare. Per quanto riguarda la zona root, c'è solo un file da contrassegnare... Diventa difficoltoso in termini di registro, perché esistono un gran numero di domini « .eu ». È necessario anche che i registri diano la possibilità ai registrar di pubblicare le informazioni nella loro area. » Molti registri come l'Afnic, l'Eurid o ancora Verisign, hanno già distribuito il DNSSEC. Il suo utilizzo dovrebbe essere implementato facilmente su molte estensioni, a condizione che i registri facilitino il processo di distribuzione tra i loro utenti.

Per maggiori informazioni:

DNSSEC o consulta DNSSEC

Article précédent

Strasburgo 1: apertura di un datacenter in container

Article suivant

OVH certificata da VMware al salone VMworld di Copenhagen