DNSSEC (Domain Name System Security Extensions) est une suite de specifications IETF (RFC 4033, 4034 et 4035, publiees en mars 2005) qui ajoute des signatures cryptographiques aux enregistrements DNS. Sans DNSSEC, un resolveur ne peut pas verifier qu une reponse provient bien du serveur autoritatif et n a pas ete alteree en transit, ce qui rend possibles les attaques de cache poisoning, de spoofing DNS et d homme du milieu. Avec DNSSEC, chaque jeu d enregistrements est signe par une cle privee du proprietaire de la zone, et les resolveurs valident la signature avec la cle publique correspondante. La zone racine est signee depuis le 15 juillet 2010. En 2025, plus de 90 pour cent des ccTLD et tous les grands gTLD (com, net, org, info, biz) prennent en charge DNSSEC, mais l adoption au niveau des domaines varie : Pays Bas, Suede, Republique tcheque, Norvege depassent 60 pour cent, beaucoup d autres pays restent sous 5 pour cent.
Comment fonctionne DNSSEC ?
- DNSKEY : cles publiques. ZSK signe les enregistrements, KSK signe le jeu DNSKEY.
- RRSIG : signature numerique de chaque jeu d enregistrements.
- DS (Delegation Signer) : hash du KSK enfant, publie dans la zone parent. Ferme la chaine de confiance.
- NSEC ou NSEC3 : prouve la non existence d un enregistrement. NSEC3 hashe les noms.
Le resolveur valide a partir de la racine, verifie le KSK racine avec un trust anchor integre (cle racine, derniere rotation octobre 2018, KSK 19036 vers KSK 20326), puis remonte la chaine vers le TLD et la zone interrogee. Une signature manquante ou invalide donne SERVFAIL.
Quelles attaques DNSSEC previent il ?
- Cache poisoning, attaque Kaminsky 2008.
- Spoofing DNS sur WiFi public ou FAI hostile.
- Consequences des hijacks BGP.
- Serveur autoritatif compromis (protection limitee).
Ce que DNSSEC ne fait PAS
- Il ne chiffre pas les requetes DNS. Pour cela DoH (RFC 8484) ou DoT (RFC 7858).
- Il ne protege pas le dernier kilometre sauf si le client valide.
- Il n arrete pas les DDoS, il amplifie meme.
- Il n authentifie pas le site web. C est le role de TLS.
Comment activer DNSSEC ?
- Choisir un fournisseur DNS compatible : Cloudflare, AWS Route 53 (decembre 2020), Google Cloud DNS, Azure DNS (2024), DNSimple, Hurricane Electric, Namecheap, Gandi, OVH, INWX, Hetzner, Porkbun.
- Activer DNSSEC dans le panneau du fournisseur.
- Copier l enregistrement DS.
- Le coller dans la section DNSSEC du registrar.
- Attendre jusqu a 48 heures et valider avec
dig +dnssec votredomaine.fr A.
Comment verifier DNSSEC ?
- En ligne : DNSViz, Verisign DNSSEC Debugger, Internet.nl, MxToolbox.
- Ligne de commande :
dig +dnssec example.froudelv example.fr. - Navigateur : extension "DNSSEC/TLSA Validator" de CZ.NIC.
Algorithmes
| Numero | Algorithme | Etat |
|---|---|---|
| 5 | RSA/SHA 1 | Obsolete |
| 8 | RSA/SHA 256 | Le plus courant |
| 10 | RSA/SHA 512 | Signatures plus grandes |
| 13 | ECDSA P 256 | Recommande moderne |
| 14 | ECDSA P 384 | Niveau de securite plus eleve |
| 15 | Ed25519 | Moderne et compact |
| 16 | Ed448 | Haute securite |
Rollover de cles
ZSK tous les 1 a 3 mois, KSK tous les 1 a 2 ans. Le rollover du KSK racine de 2018 (KSK 19036 a KSK 20326) etait le premier. Prochain prevu par l ICANN pour 2026 ou 2027.
DNSSEC et DANE
DANE (RFC 6698, aout 2012) utilise des enregistrements TLSA signes pour publier les empreintes de certificats TLS dans le DNS. Tres deploye en SMTP (Mail.de, Posteo, Mailbox.org). Jamais adopte par les navigateurs en HTTPS.
DNSSEC et DoH
- DNSSEC garantit l authenticite.
- DoH garantit la confidentialite.
Cloudflare 1.1.1.1, Google 8.8.8.8 et Quad9 9.9.9.9 valident DNSSEC et offrent DoH/DoT.
Erreurs frequentes
- Ne pas mettre a jour le DS apres un rollover.
- Changer de fournisseur sans coordonner DNSSEC.
- Choisir un algorithme non supporte par tous les resolveurs.
- Ne pas surveiller l expiration des signatures.
- Confondre DNSSEC avec HTTPS ou SPF/DKIM/DMARC.
Comment InspectWP aide pour DNSSEC ?
InspectWP interroge les enregistrements DNS de chaque domaine analyse et indique si la reponse porte des signatures DNSSEC et une chaine de confiance valide.