Après des déploiements d'envergure plus modeste (le domaine suédois .se par exemple), les deux prochaines années devraient (notez le conditionnel...) voir DNSSEC débarquer beaucoup plus largement dans le paysage Internet.

Au mois de juin dernier a commencé le passage du domaine .org à DNSSEC. Il s'agit du premier global top-level domain (GTLD) public à supporter l'extension du protocole historique, et ses promoteurs disposent désormais d'une vision plus précise sur les implications d'un tel projet. Un entretien intéressant publié par Techtarget (en anglais) met en exergue les points saillants de ce déploiement pour les entreprises :

• L'usage de DNSSEC augmente la bande passante nécessaire aux requêtes DNS (jusqu'à 15% selon que la mise en ouvre s'appuie sur NSEC3 ou NSEC)
• L'essentiel de la transition vers DNSSEC, pour l'entreprise, n'exige qu'un changement de configuration et/ou des mises à jour logiciel. Le remplacement du matériel existant devrait - toujours selon ce retour d'expérience - être l'exception plutôt que la norme (ce qui n'est en revanche pas le cas des modem-routeurs ADSL domestiques)
• Une attention particulière est portée à la procédure de "DNSSEC-ification" pour les entreprises : dans l'idéal une procédure simplifiée permettra de signer les noms de domaines, de les faire remonter a la registry et de les diffuser dans la foulée. Notez, là encore, l'utilisation du terme "dans l'idéal"...
• Comme souvent en matière de chiffrement, la gestion des clés demeure le problème essentiel. Si la chose semble maîtrisée du côté des gestionnaires de noms de domaine, les fournisseurs d'accès doivent, eux, apprendre maintenant à gérer la révocation des clés DNS.

Les domaines .org ne sont bien entendu pas les seuls concernés par DNSSEC. Le gestionnaire des domaines .edu (établissement d'éducation américains) vient tout juste de signer pour faire de même, tandis que les domaines .gov (gouvernement américain) sont déjà en migration et devraient supporter DNSSEC d'ici la fin de l'année. En 2011 enfin, ce sera le gros morceau : les domaines .net et .org devraient signer leur basculement programmé vers le DNS sécurisé.

Rappelons enfin que si DNSSEC n'est pas la panacée sécuritaire du DNS, il élimine les attaques particulièrement sournoises basées sur le détournement de serveur DNS (cache poisoning, DNS hijacking) qui nuisent particulièrement à la confiance des échanges et à la réputation des victimes.