Cloudflare étend l’usage de DNSSEC

Le spécialiste de la sécurité dans le Cloud propose d'étendre plus largement l'utilisation de DNSSEC à partir de la console de son résolveur DNS qui se veut respectueux de la vie privée, rapide et performant.

Accessible depuis le 1.1.1.1, Cloudflare propose son propre résolveur DNS (un logiciel qui fait correspondre une adresse IP de serveur à une adresse Internet ou URL) qui s’appuie sur DNS aggressive negative caching pour optimiser les performances. Il utilise aussi le service DNS Query Name Minimisation qui réduit au maximum le volume des informations utilisées. Le tout repose sur la solution logicielle knot, un solveur DNS open source écrit en C et LUA JIt se composant d’une librairie et d’un démon. Il utilise une validation DNSSEC lorsque cela est possible, mais supporte également DNS-over-TLS et DNS-over-HTTPS (expérimental). A partir de maintenant il est possible de mettre en œuvre DNSSEC sur les répertoires compatibles d’un seul clic à partir de la console de Cloudflare.

14% des requêtes validées DNSSEC

DNSSEC souhaite remédier aux nombreuses questions de sécurité autour des serveurs DNS mais sa mise en œuvre est lourde. Il rend plus difficile la possibilité d’intégrer une requête malicieuse dans le processus de résolution. Selon l’AFNIC, 14 % seulement des requêtes DNS sont validées par DNSSEC et seulement 3% des Fortune 1000 l’ont implémenté. La fonction ajoutée par CloudFlare vise à rendre plus simple et plus large l’utilisation de DNSSEC. Il faut noter que cette possibilité est déjà présente chez Gandi qui fut le premier à proposer cette possibilité.