En janvier, DNS Belgium a modernisé avec succès l'algorithme utilisé pour signer les enregistrements des domaines .be, .vlaanderen et .brussels afin de le rendre plus sûr. L'algorithme passe de RSA/SHA-256 (version 8) à ECDSA Curve P-256 avec SHA-256 (version 13). Qu'est-ce que cela signifie et comment cela fonctionne-t-il ?
Avec cette mise à niveau, nous renouvelons la manière dont nous contrôlons l'intégrité d'un nom de domaine chez DNS Belgium. Elle garantit que le contenu et la réponse entre l'utilisateur final et le nom de domaine n'ont pas été modifiés. Elle confirme ainsi que le site web ou le serveur de messagerie que vous consultez est bien le bon.
C'est comparable à un sceau de cire médiéval apposé sur une lettre : il n'assure pas directement la sécurité, mais garantit l'identité de l'expéditeur et du destinataire et certifie que le contenu n'a pas été manipulé.
Quel est le rôle de cette couche de sécurité ?
Le rollover d'algorithme est un concept inconnu de la plupart des internautes. Il s'agit pourtant d'un élément crucial de notre sécurité en ligne. « Il fait partie du DNSSEC . Il s'agit de la couche de sécurité des données DNS, qui garantit l'intégrité et l'authenticité au moyen de signatures numériques. Lors d'un algorithme rollover, l'algorithme utilisé pour créer et vérifier ces signatures numériques est remplacé », explique Geert Verheyen, ingénieur opérations DNS chez DNS Belgium.
Si cette clé de sécurité peut être piratée, une partie malveillante peut se faire passer pour n'importe quel domaine .be. Le trafic vers et depuis les sites web ou les adresses e-mail dans la zone .be peut alors être intercepté ou manipulé. En effectuant cette transition en temps utile, nous respectons les normes de sécurité mondiales et maintenons les noms de domaine .be, .vlaanderen et .brussels parmi les plus sûrs au monde.
Plus petit, mais meilleur
La mise à niveau fait passer l'algorithme de la version 8 à la version 13. Elle a été soigneusement déployée au cours des dernières semaines sur les trois zones gérées par DNS Belgium. .brussels et .vlaanderen ont été traités en premier, suivis par .be, la zone la plus importante.
La grande différence entre l'algorithme 8 (RSA/SHA-256) et l'algorithme 13 (Elliptic Curve ou, plus techniquement, ECDSA Curve P-256) est que le nouvel algorithme est environ deux fois moins volumineux en termes de données. Bien qu'il s'agisse de quelques centaines d'octets par requête de nom de domaine, cela signifie également que les serveurs concernés envoient et reçoivent moins de données. « Les clés sont plus petites, mais offrent une protection identique ou supérieure contre les attaques par force brute », explique Stijn Niclaes, responsable de l'infrastructure DNS chez DNS Belgium. « Comparez cela à un cadenas plus petit offrant davantage de combinaisons. »
Cette version est plus petite en termes de taille de paquet, nécessite moins de puissance de calcul pour être créée, mais requiert un peu plus de puissance de calcul pour être validée.
Lorsque vous choisissez un tel algorithme, vous devez prendre en compte trois éléments : la taille de votre paquet, la puissance de calcul nécessaire pour créer la signature numérique et la puissance de calcul nécessaire pour valider cette signature. « C'est un équilibre qu'il faut trouver. Cette version est plus petite en termes de taille de paquet, nécessite moins de puissance de calcul pour être créée, mais exige un peu plus de puissance de calcul pour être validée », explique Thomas Dupas, coordinateur du serveur de noms chez DNS Belgium.
Toutefois, cette puissance de calcul supplémentaire n'est pas telle que d'autres acteurs doivent adapter leur infrastructure pour l’accès aux sites web belges. « Les infrastructures modernes peuvent parfaitement y faire face », selon M. Dupas.
Pourquoi cela se produit-il maintenant ?
Ce processus de renouvellement est rare. Sven Van Dyck, ingénieur des opérations DNS chez DNS Belgium : « L'algorithme précédent était utilisé depuis 15 ans et est encore largement pris en charge aujourd'hui. Le changement intervient donc largement à temps. »
« En tant que registre , vous souhaitez planifier cette transition à temps et la mettre en œuvre avec soin, bien avant que la prise en charge d'une norme de sécurité ne prenne fin. Dans le même temps, vous voulez également vous assurer qu'un nouvel algorithme est suffisamment pris en charge à l'échelle mondiale avant de le mettre en service. »
DNS Belgium se situe dans la moyenne par rapport aux autres ccTLD européens. Nos collègues de SIDN, les gestionnaires de .nl, ont déjà effectué la transition en 2023, mais de nombreuses extensions Internet, dont celles de certains pays voisins, n'ont pas encore effectué la transition à l'heure actuelle.
La durée de vie de la nouvelle norme dépendra fortement des évolutions technologiques. Il y a de fortes chances que cet algorithme dure cinq ans ou plus, mais une nouvelle mise à niveau pourrait également avoir lieu plus rapidement si de nouvelles normes arrivaient rapidement à maturité ou si des avancées technologiques majeures survenaient soudainement.
Comment une telle mise à niveau se déroule-t-elle dans la pratique ?
La mise à niveau de l'algorithme est un processus bien défini, même si cela demande un certain travail à nos ingénieurs réseau. Tout d'abord, le logiciel de signature doit être rendu compatible avec la double signature. Ce logiciel comporte de nombreux mécanismes de contrôle et doit, dans un premier temps, être capable de traiter à la fois l'algorithme 8 et l'algorithme 13. Il n'est pas souhaitable de désactiver temporairement l'un de ces mécanismes, car cela créerait un risque pour la sécurité.
Il n'est pas non plus possible de supprimer un algorithme et de le remplacer immédiatement par l'autre. Étant donné qu'une grande partie du trafic Internet repose sur le cache, une telle approche risquerait de perturber une partie de l'Internet. « C'est pourquoi, après avoir assuré la compatibilité avec la nouvelle norme, nous signons tout en double pendant un certain temps », explique M. Dupas.
L'ensemble de la zone .be, soit environ 1,7 million de noms de domaine, est signé en un peu moins de dix minutes.
Cette double signature permet aux serveurs, lorsqu'ils actualisent leur cache et se reconnectent aux serveurs de noms de DNS Belgium, de récupérer les informations signées avec l'algorithme 13. Une fois que cela aura été fait à l'échelle mondiale, l'algorithme 8 sera mis hors service et la mise à niveau sera terminée.
Mon site web sera-t-il plus rapide ou plus lent ?
Non. « L'ensemble de la zone .be, soit environ 1,7 million de noms de domaine, est signé en un peu moins de dix minutes. Au moment de la double signature (par les algorithmes 8 et 13), cela peut prendre jusqu'à 13 minutes, mais ce délai diminue dès que nous passons à un seul algorithme », explique Verheyen.
« Avec la nouvelle norme, cela prend un peu plus de dix minutes. » Mais en tant qu'internaute, vous ne le remarquez pas. En effet, la plupart des adresses Internet sont déjà répertoriées dans le cache des serveurs de noms, notamment celui de votre fournisseur d'accès Internet.
Seuls les propriétaires de noms de domaine qui effectuent des modifications techniques en arrière-plan pouvaient le remarquer pendant la double signature. Supposons que vous modifiiez les serveurs de noms derrière votre nom de domaine (par exemple pour connecter votre domaine à Cloudflare), la double signature a pris plus de temps avant que cela ne soit visible. Mais il ne s'agissait là que d'une différence de quelques minutes. La visite ou la publication d'un contenu sur un site web reste aussi fluide qu'auparavant, avec une couche plus moderne pour garantir l'authenticité d'un domaine.
Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.