Ce sujet mérite quelques explications :
- Les projets DNSSEC ne manquent pas, même Bind supporte ce protocole, mais la procédure est manuelle, et franchement pas simple. Ce projet sécurise un DNS en DNSSEC/NSEC3 automatiquement ;
- OpenDNSSEC est géré et même créé par des pros DNSSEC. La zone ".se" a été sécurisée grâce à eux en 2007, une dizaine de domaines ont depuis suivis. ;
- Outre ce projet le service "classique" DNS doit impérativement se transformer en DNSSEC.
À ce sujet le blog de S. Bortzmeyer comprend de nombreux articles sur DNSSEC, puis un domaine hautement d'actualité et non sans problème : la sécurisation des racines (DNSSEC) ;
- La zone ".fr" doit être DNSSEC dans le 1er semestre...etc .
On notera qu'un premier serveur DNS racine (L.root-servers.net) a commencé à diffuser des informations signées avec DNSSEC ce 27 janvier. Les douze autres devraient suivre d'ici juillet.
Cette migration pourrait être accompagnée d'effet de bord fâcheux. Jusqu'en 1999, la taille des paquets DNS était limitée à 512 octets, limitation levée par la RFC 2671. Jusque là, tout va bien. Sauf que depuis, tous les équipements réseaux n'ont pas forcément évolués, et certains bloquent les paquets d'une taille supérieure à 512 octets. cela avait peu de conséquences jusqu'à aujourd'hui. Le hic, c'est que tous les paquets contenant une signature auront une taille supérieur aux 512 octets fatidiques...
Plus de détails sur ce mail : http://www.mail-archive.com/frnog@frnog.org/msg08914.html
Le projet OpenDNSSEC vient de sortir en version stable (v1.0.0), c'est un sujet d'actualité et d'avenir pour le service DNS. Je ne peux que conseiller le déploiement de ce projet par sa facilité d'utilisation, pas forcément d'installation...