DNSSEC est une extension du système de noms de domaine (DNS). Cette extension sert à garantir l'authenticité et l'intégrité des données des réponses DNS.
DNSSEC utilise des signatures cryptographiques pour garantir que les réponses DNS ne puissent pas être manipulées sans que cela soit détecté, ce qui permet une publication sécurisée des données dans le DNS. Presque chaque transaction sur Internet commence par une requête DNS, qu'il s'agisse de l'appel d'une site web, de l'envoi d'un e-mail, de l'utilisation d'une messagerie instantanée ou de la gestion d'un compte bancaire en ligne. DNSSEC permet d'éviter qu'un utilisateur ne soit redirigé vers un mauvais serveur par le biais de réponses DNS falsifiées.
En outre, DNSSEC constitue le fondement d'autres mécanismes de sécurité. Le protocole DANE, par exemple, peut être utilisé pour crypter des e-mails sans impliquer de tierces parties (autorités de certification) et garantir une distribution au bon serveur cible. Par son utilisation combinée avec d'autres technologies telles que le TLS, les transactions sur Internet sont sécurisées à plusieurs niveaux.
La communication sur Internet utilise le DNS de manière très étendue pour la recherche d'informations. Cependant, comme le protocole DNS remonte aux débuts d'Internet, il n'inclut pas l'aspect de la sécurité dans sa conception. DNSSEC sécurise ainsi un protocole DNS qui ne serait autrement pas sécurisé, et améliore de ce fait la sûreté de toutes les communications sur Internet.
En tant qu'usager d'Internet, vous n'avez rien à entreprendre. Si votre fournisseur d'accès Internet supporte DNSSEC, tous les contrôles de signature se feront sur ses serveurs DNS.
Si vous en tant que détenteur voulez protéger votre nom de domaine avec DNSSEC, l'opérateur des serveurs de noms doit installer DNSSEC pour vous. Contactez l'hébergeur si les serveurs de noms sont opérés par votre hébergeur web. Contactez le département IT interne si votre entreprise opère des propres serveurs de noms.
The chart shows the number of DNSSEC-signed .li domain names on the first of each month since Switch introduced DNSSEC in 2010.
Le document "Key Management Practice Statement" décrit la manière dont Switch traite le matériel cryptographique des codes en relation avec DNSSEC. Il explique comment les codes sont générés et stockés et quand ils cessent d'être valables.
Key Management Practice Statement (en anglais)