Le DNSSEC (Domain Name System Security Extensions) ajoute une couche de sécurité cryptographique à vos enregistrements DNS pour empêcher l'empoisonnement de cache et le détournement de trafic.
Pourquoi est-ce crucial ?
Sans DNSSEC, un attaquant peut intercepter une requête DNS et renvoyer une fausse adresse IP, dirigeant vos utilisateurs vers un site malveillant sans qu'ils ne s'en aperçoivent. DNSSEC signe numériquement chaque réponse, garantissant son intégrité.
# Vérification d'une zone signée
$ delv @ns1.lyshosting.ca lyshosting.ca
; fully validated
lyshosting.ca. 3600 IN A 66.163.113.231
lyshosting.ca. 3600 IN RRSIG A 13 2 3600 ...
Implémentation chez Lys Hosting
- Automatisation : Nous utilisons dnssec-policy dans BIND9 pour la rotation automatique des clés (KSK/ZSK).
- Algorithme moderne : Utilisation de ECDSAP256SHA256 pour une sécurité maximale avec des signatures courtes.
- Validation stricte : Nos résolveurs valident systématiquement les signatures pour protéger nos clients.