DNSSEC est le protocole qui garantit l’intégrité de la résolution DNS en établissant une chaine de confiance jusqu’à la racine. La sécurité des données est assurée par un mécanisme de clés cryptographiques qui signent les enregistrements DNS des zones. Historiquement, les opérateurs DNS utilisent des clés de type RSA (algorithme RSASHA256), réputées pour leur robustesse.
Comme alternative à cet algorithme de cryptographie asymétrique, il existe notamment des algorithmes à courbe elliptique. Dans le cas de DNSSEC, l’algorithme « ECDSA Curve P-256 with SHA-256 » (RFC 6605 et 8624) propose notamment un niveau de sécurité supérieur avec des clés de taille plus petite.
L’algorithme ECDSA est de plus en plus implémenté par les acteurs majeurs de l’industrie des noms de domaine, comme Verisign ou encore l’AFNIC, et vise à devenir le standard.
Cela induit plusieurs avantages par rapport à notre implémentation actuelle :
- Signatures plus petites et fichiers de zones moins volumineux (environ -33%) ;
- Transfert et rechargement de zones plus rapides ;
- Amélioration des performances lors de la signature ;
- Requêtes DNS potentiellement plus rapides (moins recours à la fragmentation d’IP) ;
- Réduction du facteur d’amplification des attaques DDoS basées sur le DNS.
C’est pour toutes ces raisons que Nameshield a choisi d’utiliser cet algorithme par défaut pour sécuriser ses propres noms de domaine et ceux de ses clients.
Crédit image : Nameshield with storyset.com