Recommandations et approfondissement
      Revenir à l'accueil
      1. Base de connaissances Board of Cyber
      2. Security Rating
      3. Recommandations et approfondissement

      Wildcard et risques

      Dans cet article, vous découvrirez ce qu'est la mesure Wildcard.

      Sommaire : 

      Historiquement, le système DNS propose une fonctionnalité de certificats Wildcard. Cette dernière permet de répondre positivement avec une valeur à toute interrogation sur un type de RECORD. Certains systèmes, tel que la messagerie, établissent leur fonctionnement (filtrage) sur la non-existence d'un FQDN (Fully Qualified Domain Name). Un des impacts de l'utilisation des certificats Wildcard est que la preuve de non-existence disparait

      Ainsi, il est recommandé de ne pas utiliser de record Wildcard, de les remplacer par des systèmes de provisioning automatique si cela est nécessaire, et, si ils ne sont pas remplaçables, de limiter leurs utilisations à des types précis et de les isoler sur des sous-domaines dédiées à cet usage.

      Il existe sept types de RECORD pour les Wildcard DNS :

      Wildcard DNS CNAME : 

      L'utilisation d'un Wildcard sur un record de type CNAME augmente la portée à l'effet à tous les types de RECORD (A, AAAA, MX, TXT, SRV, ...). Les effets induits de cette utilisation sont très difficile à anticiper.

      Wildcard DNS NS : 

      L'utilisation d'un Wildcard sur un record de type NS est systématiquement indéfinie selon la RFC4592, section 4.2. Les conséquences de leurs usages est non prédictible.

      Wildcard DNS MX : 

      L'utilisation d'un Wildcard sur un record de type MX invalide le mécanisme de base de défense de tous les serveurs de messageries recevant un email émis depuis ce domaine.

      Wildcard DNS A : 

      L'utilisation d'un Wildcard sur un record de type A invalide le mécanisme de base de défense de tous les serveurs de messagerie recevant un email émis depuis ce domaine et augmente la vulnérabilité des équipements réseaux aux attaques de type DDOS. 

      Wildcard DNS AAAA :

      L'utilisation d'un Wildcard sur un record de type AAAA invalide le mécanisme de base de défense de tous les serveurs de messagerie recevant un email émis depuis ce domaine et augmente la vulnérabilité des équipements réseaux aux attaques de types DDOS.

      Wildcard DNS TXT : 

      L'utilisation d'un Wildcard sur un record de type TXT propage ces informations systématiquement à tous les sous-domaines et l'effet sur l'usage des valeurs est non-contrôlé.

      Wildcard DNS SRV :

      L'utilisation d'un Wildcard sur un record de type SRV propage ces informations systématiquement à tous les sous domaines et les services déclarées seront sollicitées sur des FQDN imprévisibles.