Aller au contenu principal

7. Security Considerations

7. Security Considerations

Le profil de confidentialité strict pour DNS over TLS est obligatoire pour les DNS Push Notifications [RFC8310]. Les connexions en texte clair pour les DNS Push Notifications ne sont pas autorisées. Puisqu'il s'agit d'un nouveau protocole, les mécanismes de transition depuis le profil de confidentialité opportuniste ne sont pas nécessaires.

De plus, consultez la section 9 du document Usage Profiles for DNS over (D)TLS [RFC8310] pour des recommandations supplémentaires concernant les différentes versions d'utilisation de TLS.

En conséquence de l'exigence de TLS, l'authentification et la vérification du certificat client peuvent également être appliquées par le serveur pour une sécurité client-serveur plus forte ou une sécurité de bout en bout. Cependant, les recommandations de sécurité pour des scénarios de déploiement particuliers sont en dehors de la portée de ce document.

DNSSEC est recommandé pour l'authentification des serveurs DNS Push Notification. TLS seul ne fournit pas une sécurité complète. La vérification du certificat TLS peut fournir une assurance raisonnable que le client communique réellement avec le serveur associé au nom d'hôte souhaité, mais puisque le nom d'hôte souhaité est obtenu via une requête DNS SRV, si la requête SRV est subvertie, le client peut alors avoir une connexion sécurisée à un serveur malveillant. DNSSEC peut fournir une confiance supplémentaire que la requête SRV n'a pas été subvertie.

Dernière mise à jour le