SC-20 - Service sécurisé de résolution de nom ou d’adresse (source faisant autorité) (-F-)
Énoncés :
a. Fournir des éléments additionnels d’information sur l’authentification de l’origine des données et sur la vérification de leur intégrité, en plus des données de résolution de nom faisant autorité, que le système retourne en réponse aux requêtes externes de résolution de nom ou d’adresse
b. Offrir des moyens d’indiquer l’état de sécurité des zones enfants et (si l’enfant prend en charge des services sécurisés de résolution) de vérifier l’existence d’une chaîne de confiance entre les domaines parents et enfants lorsque le système est utilisé dans un espace de nom hiérarchique distribué
Fournir de l’information tirée d’une source faisant autorité permet aux clients externes, comme les clients à distance provenant d’Internet, d’obtenir des assurances d’authentification de l’origine ou de vérification de l’intégrité pour l’information de résolution de nom d’hôte ou de service en adresse réseau obtenue par l’intermédiaire du service. Les systèmes qui fournissent les services de résolution de nom et d’adresse comprennent les serveurs DNS. Parmi les artéfacts additionnels, on retrouve les extensions de sécurité DNS (DNSSEC pour Domain Name System Security Extension), les signatures numériques et les clés cryptographiques. Les données faisant autorité comprennent les enregistrements des ressources liées au service DNS. L’utilisation d’enregistrements de ressource de signataire par délégation du service DNS est l’un des moyens permettant d’indiquer l’état de sécurité des zones enfants. Les systèmes qui utilisent des technologies autres que le service DNS pour mettre en correspondance les noms d’hôte ou de service et les adresses réseau offrent d’autres moyens d’assurer l’authenticité et l’intégrité des données des réponses.