Para uma proteção do DNS ?

Elaborado no inicio dos anos 1980 afim de facilitar as mudança na Web, o DNS (para Domain Name System) permite encontrar o endereço IP de um site Internet a partir do seu nome, ou de localizar o lugar exacto para onde enviar um email, por exemplo. Mas, nessa altura, o DNS era apenas utilizado por um número restrito de utilizadores, bem longe dos 2 milhares de internautas actuais : a sua segurança não era por consequência um elemento crucial na sua concepção. Eis o motivo longe de ser infaível, o DNS mostrou a sua vulnerabilidade, como o explica Stéphane Lesimple : « Não existe, em nenhum nível do DNS, meios de verificação. É o que causa problema a hora actual : um pirata pode injectar falsas informações na cache do DNS, e reencaminhar assim os utentes de um mesmo fornecedor de acesso à Internet para um site errado ; ou interceptar os pedidos e reenviar respostas erradas. Estes ataques podem ser particularmente perigosos quando um cliente se liga ao site do seu banco, por exemplo. »

O Domain Name System Security Extension, ou DNSSEC, tem por vocação proteger e autenticar as respostas do DNS aquando um pedido. O internauta terá assim a certeza que o seu pedido ao DNS, ou seja ao endereço IP, vem efectivamente de quem tem autoridade sobre o domínio, mas também que esta resposta não foi alterada por um terceiro.

DNSSEC está baseado num sistema de chaves : uma chave privada guardada secreta assina os dados, quando outra chave publica, difundida, permite autenticar a origem. No caso de um pedido DNS, o sistema de assinaturas criptográficas autentifica as respostas de cada zona. Resumindo, os dados do servidor raiz são assinados por uma chave, esta assina por outra chave. E é assim para cada zona do DNS.

A hora actual, a zona raiz já foi assinada, é agora a vez dos registos de implementarem DNSSEC. Uma operação que pode demorar, como nos explica Stéphane Lesimple : « DNSSEC é muito pesado para implementar. No que trata da zona raiz, o processo é relativamente simples, há apenas um ficheiro a assinar... O processo complicasse ao nível dos registos, visto que são numerosos por exemplo existem uma multidão de domínios em « .eu ». Também é necessário que os registos deem a possibilidade aos centros de registo de publicar as informações nas suas zonas. » A notar que numerosos registos tais que Afnic, Eurid ou Verisign, já implementaram DNSSEC. O seu uso deverá generalizar-se para numerosas extensões, a condição que os centros de registo facilitem o processo de implementação para os seus utilizadores.