DNS Belgium a adapté l’algorithme de sécurité pour les zones de domaine .be, .vlaanderen et .brussels. L’organisation remplace l’algorithme RSA/SHA-256 par une variante plus moderne et plus sûre.
Le mois dernier, DNS Belgium a mis à niveau l’algorithme de signature des enregistrements vers une nouvelle variante. L’algorithme 8 (RSA/SHA-256) était utilisé depuis quinze ans. Désormais, DNS Belgium adopte l’algorithme 13 (ECDSA Curve P-256). Le gestionnaire de noms de domaine de premier niveau de Belgique s’attend ainsi à être à nouveau en ordre pendant au moins cinq ans.
L’algorithme en question est responsable de la signature numérique des noms de domaine. Il garantit que lorsque vous visitez un site web avec une extension .be, .vlaanderen ou .brussels, vous arrivez à la bonne destination. Sans signature sécurisée, il est techniquement possible d’intercepter ou de manipuler le trafic. L’algorithme fait partie de DNSSEC : la couche de sécurité des données DNS.
Plus petit et plus sûr
La mise à niveau s’est déroulée par étapes, .vlaanderen et .brussels ayant été les premiers à passer à la nouvelle version, suivis par la plus grande zone .be.
La transition permet de réduire la taille des signatures numériques, ce qui nécessite moins de trafic de données. L’inconvénient de cette réduction est que la validation exige un peu plus de capacité de calcul. Selon DNS Belgium, cela ne pose aucun problème pour l’infrastructure réseau moderne. Les utilisateurs ne remarquent rien de la transition.
lire aussi
DNS Belgium veut se débarrasser d’AWS
« Les clés sont plus petites, mais offrent la même protection, voire une meilleure, contre les attaques par force brute », explique Stijn Niclaes, responsable de l’infrastructure DNS chez DNS Belgium. « Comparez cela à un cadenas à chiffres plus petit avec plus de combinaisons. »
Préparation minutieuse
Une mise à niveau de l’algorithme au sein de DNSSEC nécessite une préparation minutieuse. Dans un premier temps, l’infrastructure a été adaptée pour la double signature. Cela signifie que les domaines ont été temporairement signés avec les deux algorithmes. De cette façon, tous les systèmes continuent de fonctionner correctement pendant la période de transition. Ce n’est que lorsque le nouvel algorithme est reconnu dans le monde entier par les caches et les serveurs de noms que l’ancien peut être progressivement supprimé en toute sécurité. Le processus a pris plusieurs semaines.
Selon DNS Belgium, il est important de planifier une telle transition à temps, bien avant que la prise en charge d’un ancien algorithme ne disparaisse. Le nouvel algorithme doit également être suffisamment pris en charge dans l’infrastructure mondiale. En Europe, certaines extensions, telles que .nl, sont déjà passées à l’algorithme 13, mais beaucoup d’autres ne l’ont pas encore fait.