15.05.2025

Le transfert de zone sécurisé par TLS au service du .lu

.LU

Utilisés de manière très confidentielle par les registres de noms de domaine, les transferts sécurisés de zone DNS par TLS ont fait l’objet de tests d’intégration menés de concert par Restena et nic.at. Au vu des résultats probants, Restena entend intégrer à l’avenir cette technologie innovante au cœur de l’infrastructure technique du registre du .lu.

Depuis plusieurs mois, et dans le cadre de son activité de registre du .lu, la Fondation Restena travaille à la mise en service d’un nouveau serveur de distribution du ficher de zone contenant l’ensemble des noms de domaines en .lu actifs. L’objectif derrière ce travail : apporter une touche de sécurisation complémentaire au .lu.

À l’avenir, ce nouveau serveur améliorera non seulement la redondance du .lu mais permettra également le déploiement de nouveaux services :

  • la validation sémantique des clés et signatures DNSSEC (Domain Name System Security Extensions) de la zone .lu ; la technologie DNSSEC permettant l'authentification des données DNS (Domain Name System) et évitant de nombreuses vulnérabilités.
  • les transferts sécurisés de zone DNS par TLS, également connus sous l’appellation XoT ou XFR-over-TLS (tel que publié par l’Internet Engineering Task Force dans la RFC 9103) et permettant de garantir l’authenticité et la confidentialité des transferts de zone vers les serveurs secondaires.

Premier registre européen de noms de domaine a officiellement supporter la technologie XFR-over-TLS, Restena fait figure de pionnière dans ce domaine et a donc apporté sa pierre à l’édifice de la connaissance et de l’expérimentation sur les transferts sécurisés de zone DNS par TLS.

Des tests d’intégrations probants

Restena a mené des tests d’intégration sur les transferts sécurisés de zone DNS par TLS en collaboration avec nic.at, le registre autrichien pour les noms de domaine en .at. Ensemble, ils ont testé la sécurisation effective du transfert de fichier de zone du registre des noms de domaine en .lu vers les serveurs secondaires du service anycast RcodeZero de nic.at, considéré pour remplacer l’un des actuels fournisseurs de la présence globale du .lu.

Les tests ont confirmé le bon fonctionnement des logiciels et les configurations nécessaires à la mise en place des transferts de zones sécurisés par TLS et à l’intégration de RCodeZero dans l’infrastructure technique du .lu.

Des atouts pour la sécurité

L’utilisation de serveurs secondaires anycast est primordial pour le .lu. Grâce à cette solution, le contenu de la zone .lu ; c’est-à-dire tous les domaines en .lu actifs gérés par Restena ; est diffusé de manière redondante à travers la planète, accélérant ainsi la résolution des noms de domaine en .lu quel que soit le lieu d’origine de la requête. La technologie anycast protège également contre les attaques par deni de service puisqu’il devient presque impossible de rendre le .lu indisponible au niveau mondial.

L’association de la technologie anycast aux transferts de zones sécurisés par TLS offre des avantages supplémentaires :

  • elle garantit la confidentialité du contenu du .lu lors du transfert de la zone,
  • elle assure que la zone n’est diffusée que vers les prestataires autorisés.

Grâce à elle, les données techniques et commerciales des titulaires de noms de domaines en .lu sont mieux protégées.

Une qualité de service améliorée

Dans les prochains mois, Restena révisera ses partenariats pour la fourniture du service anycast afin d’optimiser les performances, la fiabilité et la sécurité de la diffusion de la zone .lu. Son ambition sera notamment de mettre le support de XFR-over-TLS au cœur du cahier des charges.

Cette revue permettra d’offrir une meilleure qualité de service aux près de 118.000 noms de domaine en .lu actifs, dont plus de 10.000 sont d’ores et déjà signés par DNSSEC.

Informations complémentaires

Service ‘Registre national du .lu’