Signature de domaine (DNSSEC)
Pourquoi
Vous trouverez ci-dessous des liens vers des descriptions d'incidents connus que les DNSSEC auraient probablement pu éviter.
- "Cache-poisoning attack snares top Brazilian bank"
- "Eircom reveals 'cache poisoning' attack by hacker led to outages"
- "DNS cache poisonings foist malware attacks on Brazilians"
- "Cache Poisoning of Mail Handling Domains Revisited"
- "Ni neige, ni pluie, ni MITM... Une analyse empirique de la sécurité de l'acheminement du courrier électronique"
Vous trouverez ci-dessous une citation de la dernière publication de recherche mentionnée :
La sécurité du courrier électronique, comme celle de nombreux autres protocoles, est intrinsèquement liée à la sécurité de la résolution DNS. Plutôt que de cibler le protocole SMTP, un attaquant actif du réseau peut usurper les enregistrements DNS d'un serveur de messagerie de destination pour rediriger les connexions SMTP vers un serveur sous le contrôle de l'attaquant. [Nous avons trouvé des preuves que 178 439 des 8 860 639 (2,01 %) serveurs DNS accessibles au public ont fourni des adresses IP ou des enregistrements MX invalides pour un ou plusieurs de ces domaines.
Statistiques d'utilisation
- Pulse - DNSSEC metric par Internet Society
- .nl statistics on DNSSEC par SIDN Labs
- Mesure de la validation du DNSSEC par l'APNIC
- Rapport sur le déploiement des DNSSEC
Informations générales
- FAQ sur les DNSSEC par SIDN
- ISOC's Deploy360 on DNSSEC
- DNSSEC.net
- Wikipedia sur les DNSSEC
- Knowledge-Sharing and Instantiating Norms for DNS and Naming Security (KINDNS)
Spécifications
- RFC 4033 : Introduction et exigences en matière de sécurité DNS
- RFC 4034 : Enregistrements de ressources pour les extensions de sécurité DNS
- RFC 4035 : Modifications du protocole pour les extensions de sécurité DNS
- RFC 8624 : Algorithm Implementation Requirements and Usage Guidance for DNSSEC
- RFC 9276 : Guidance for NSEC3 Parameter Settings
