L'ICANN a commencé le déploiement du DNS Root KSK - Actualités RT Opérateurs/FAI

L'ICANN a commencé le déploiement du DNS Root KSK

le 17/10/2018, par Michael Cooney, IDG NS (adapté par Jean Elyan), Opérateurs/FAI, 708 mots

L'organisme Internet Corporation for Assigned Names and Numbers a entamé le 11 octobre le déploiement du DNS Root KSK, la paire de clés servant à sécuriser les serveurs à la base de l'Internet. Une opération qui se déroule, pour le moment, sans accroc majeur.

L'ICANN a commencé le déploiement du DNS Root KSK

Jusqu'ici tout va bien. C'est en tout cas ce qu'a déclaré l'ICANN, l'organisme chargé de l'attribution des noms de domaine et des numéros sur Internet après le déploiement le 11 octobre du premier changement de clé cryptographique qui sert à protéger le carnet d'adresses de l'Internet, autrement dit le Domain Name System (DNS). Cette modification est au coeur du projet de mise à niveau de la paire de clés cryptographiques principale de l'ICANN utilisée dans le protocole DNSSEC (Domain Name System Security Extensions) - communément appelée clé de signature de clé (Key Signing Key - KSK) de la zone racine. Cette paire de clefs, qui se compose d'une clef publique et d'une clef privée, sert à sécuriser les serveurs à la base de l'Internet.

C'est la première fois que l'ICANN procède à un changement de KSK depuis la première émission de la clef en 2010. Le roulement du KSK racine 2010 vers le KSK 2017 devait avoir lieu il y a près d'un an, mais il a été reporté au 11 octobre de cette année par crainte de perturber la connectivité Internet d'un grand nombre d'utilisateurs du Web. Mais jusqu'à présent, l'ICANN n'a constaté aucune perturbation. L'organisation « qui oeuvre, avec des participants du monde entier, à la préservation de la sécurité, de la stabilité et de l'interopérabilité de l'Internet » a déclaré que « le roulement du KSK racine a été effectué : la nouvelle zone racine signée par le nouveau KSK-2017 a été publiée sur les serveurs racines ». Dans son communiqué l'ICANN précise encore que « le roulement du KSK racine a eu lieu à 16:00 heures UTC, le 11 octobre », et que « la publication de la zone racine porte le numéro de série 2018101100 ». L'organisation invite aussi à « consulter la page principale du roulement pour avoir plus d'informations sur le processus ». Un peu plus tard, elle a précisé que quelques problèmes avaient été signalés au cours des six premières heures qui ont suivi le roulement, et que la plupart avaient été rapidement résolus. Il est possible de suivre l'avancée du roulement à cette adresse.

Une mise en oeuvre retardée d'un an Le mois dernier, le Conseil d'administration de l'ICANN a décidé de lancer le roulement dont il avait retardé la mise en oeuvre d'une année. L'ICANN avait annoncé que le roulement aurait peu d'impact, n'excluant pas cependant qu'un petit pourcentage d'utilisateurs d'Internet puisse avoir des problèmes pour la résolution des noms de domaine, c'est-à-dire que certains utilisateurs pourraient avoir des difficultés à atteindre leurs destinations en ligne. L'ICANN avait aussi déclaré que pour les utilisateurs d'entreprise, la mise à jour aurait peu d'impact. D'abord, l'ICANN avait déclaré que plus de 99% des utilisateurs dont les résolveurs sont en cours de validation ne seraient pas affectés par le roulement du nouveau KSK. Normalement, les entreprises ont déjà mis à jour leur logiciel pour effectuer des roulements automatiques (roulement « RFC 5011 ») ou ont installé manuellement la nouvelle clé avant la date du roulement.   

Au cours de cette réunion, l'ICANN a rappelé que l'objectif essentiel de ce déploiement était d'améliorer la sécurité DNS et a insisté sur sa nécessité. En particulier, « l'évolution continue des technologies et des installations Internet, le déploiement de dispositifs IoT et l'augmentation de la capacité des réseaux dans le monde entier, conjugués au manque regrettable de sécurité de ces dispositifs et réseaux, font que les attaquants disposent de plus en plus de capacités à paralyser les infrastructures Internet », a déclaré l'ICANN. Toujours selon l'ICANN, le basculement KSK consiste à générer une nouvelle paire de clés cryptographiques publiques et privées et à distribuer le nouveau composant public aux parties qui utilisent les résolveurs de validation. Ces résolveurs exécutent un logiciel qui convertit des adresses comme reseaux-telecoms.net en adresses réseau IP. « Parmi les résolveurs, on trouve soit des fournisseurs de services Internet, soit des administrateurs de réseaux d'entreprise et d'autres opérateurs de résolveurs DNS, des développeurs de logiciels de résolution DNS, des intégrateurs de systèmes et des distributeurs de matériel et de logiciels qui installent ou fournissent l'« ancre de confiance » de la racine », a déclaré l'ICANN.

AdTech Ad



Orange arrête de vendre ses offres RTC à dater du 15 novembre

L'opérateur Orange profite de l'annonce de l'Arcep sur les premières zones dans lesquelles le RTC sera remplacé par l'IP pour indiquer qu'il ne commercialisera plus que des offres de téléphonie fixe basées sur...

le 29/10/2018, par Nicolas Certes, 233 mots

Keyyo bientôt dans le giron de Bouygues Telecom

Pour se renforcer sur le marché des TPE et des PME, Bouygues Telecom prépare le rachat de l'opérateur Keyyo, spécialisé dans les services tout-IP. L'opérateur téléphonie et Internet Keyyo est en passe de...

le 25/10/2018, par Serge LEBLAL, 207 mots

L'ICANN a commencé le déploiement du DNS Root KSK

L'organisme Internet Corporation for Assigned Names and Numbers a entamé le 11 octobre le déploiement du DNS Root KSK, la paire de clés servant à sécuriser les serveurs à la base de l'Internet. Une opération...

le 17/10/2018, par Michael Cooney, IDG NS (adapté par Jean Elyan), 708 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »