Il aura fallu dix ans à DNSSEC pour devenir réalité. Dix ans entre l’annonce de son intégration à Bind 9 et la signature effective de nombreux domaines de premier niveau. Dix ans, mais surtout une grosse panique à l’annonce d’une non moins grosse vulnérabilité découverte dans l’implémentation du protocole DNS et publiée en 2008 par Dan Kaminsky.

« Cela fait longtemps que DNSSEC est discuté, mais c’était jusqu’à présent la réponse à une attaque que l’on pensait théorique. La démonstration de Dan Kaminsky a prouvé que la menace est bien réelle. DNSSEC est alors devenu une nécessité », explique Loïc Damilaville, Directeur Adjoint de l’AFNIC. Une nécessité d’autant plus impétueuse que les mesures préconisées immédiatement après l’annonce de Dan Kaminsky n’ont pas vocation à être permanentes : « Il y a déjà des attaques documentées contre des serveurs qui avaient implémentés les correctifs post-Kaminsky », précise Stéphane Bortzmeyer, expert à l’AFNIC.

L’AFNIC, comme d’autres gestionnaires de domaines de premier niveau (génériques et géographiques) s’est donc mis en ordre de marche afin que ses propres serveurs DNS, ceux en charge de la zone .fr, ne renvoient bientôt plus que des réponses signées. Echéance : à partir de mai 2010 pour la racine globale, et jusqu’à septembre 2010 pour la zone FR.

Cela change-t-il quelque chose pour les entreprise ?

« Le premier impact, immédiat, sera l’augmentation de la taille des réponses DNS, qui peuvent être multipliées par dix. Les gens qui bloquent les paquets de taille supérieure à 512 octets risquent d’être ennuyés », détaille Stéphane Bortzmeyer.

Mais il s’agit là d’un vulgaire inconvénient technique qui pourra se régler par une modification des règles au niveau des pare-feux.

La vraie difficulté viendra après : si l’entreprise gère elle-même ses noms de domaines (en .fr notamment, donc), elle devra choisir son camp. « Une fois la racine et tous les TLD signés, la question que va devoir se poser toute entreprise qui gère en interne ses noms de domaines est de savoir si elle les signe ou non », poursuit Stéphane Bortzmeyer.

A première vue la question en se pose pas : un domaine signé est un domaine qui ne peut être usurpé ou empoisonné. Et c’est plutôt une bonne chose considérant les dégâts que peut infliger un serveur DNS légitime tombé entre des mains mal intentionnées. Mais cela exige tout de même un peu de technique et surtout beaucoup d’organisation.

« Le plus compliqué pour l’entreprise sera de gérer ses clés de chiffrement : les générer, les conserver, signer, et enfin les renouveler. Ce sera un peu plus simple pour les celles qui pratiquent déjà la cryptographie (qui gèrent une PKI par exemple, ndlr), mais pour les autres ça demande de se pencher sur le sujet à l’avance », prévient Stéphane Bortzmeyer.

Pour un domaine dont les informations bougent régulièrement (et doivent donc être re-signées aussi souvent), le recours à un module de génération de clé matériel (HSM) s’imposera afin de fluidifier le processus de génération-signature. Pour les autres, un simple PC déconnecté du réseau et utilisé exclusivement pour la génération des clés pourra suffire (les cyniques y verront probablement là le retour du bon vieux « réseau baskets » !).

Dernier impact prévisible, enfin : une fois sous DNSSEC, un serveur DNS devient, paradoxalement, plus fragile. « Avant, pour casser DNS par erreur il fallait le vouloir. Avec DNSSEC, qui est plus sophistiqué, il sera plus simple de tout casser par une simple erreur de configuration », met en garde Stéphane Bortzmeyer.

Mais pour l’AFNIC tout ceci est avant tout une question d’organisation. « Il me semble essentiel que toute entreprise qui gère son nom de domaine ait au moins un plan DNSSEC à l’étude. Il n’est pas utile de se précipiter mais il faut commencer par se pencher sur le sujet, en étudier la faisabilité. Cela permettra d’éviter les erreurs courantes, comme d’oublier de faire passer sous DNSSEC les serveurs DNS secondaires, par exemple », conclue Stéphane Bortzmeyer.

Méthode, donc, et surtout anticipation, semblent être les maîtres mots ici. Bien entendu, seules les entreprises en charge de leur propre nom de domaine sont concernées. Mais pour elles, il ne sert à rien de mettre la tête dans le sable : la transition à DNSSEC est en marche et autant l’accompagner dans de bonnes conditions.

Plus d’information :

Un document synthétique de l’AFNIC afin d’aider les entreprises à comprendre l’impact de DNSSEC

Un document (beaucoup) plus complet sur le même sujet, par Stéphane Bortzmeyer