L'ICANN a commencé le déploiement du DNS Root KSK

le 17/10/2018, par Michael Cooney, IDG NS (adapté par Jean Elyan), Opérateurs/FAI, 708 mots

L'organisme Internet Corporation for Assigned Names and Numbers a entamé le 11 octobre le déploiement du DNS Root KSK, la paire de clés servant à sécuriser les serveurs à la base de l'Internet. Une opération qui se déroule, pour le moment, sans accroc majeur.

L'ICANN a commencé le déploiement du DNS Root KSK

Jusqu'ici tout va bien. C'est en tout cas ce qu'a déclaré l'ICANN, l'organisme chargé de l'attribution des noms de domaine et des numéros sur Internet après le déploiement le 11 octobre du premier changement de clé cryptographique qui sert à protéger le carnet d'adresses de l'Internet, autrement dit le Domain Name System (DNS). Cette modification est au coeur du projet de mise à niveau de la paire de clés cryptographiques principale de l'ICANN utilisée dans le protocole DNSSEC (Domain Name System Security Extensions) - communément appelée clé de signature de clé (Key Signing Key - KSK) de la zone racine. Cette paire de clefs, qui se compose d'une clef publique et d'une clef privée, sert à sécuriser les serveurs à la base de l'Internet.

C'est la première fois que l'ICANN procède à un changement de KSK depuis la première émission de la clef en 2010. Le roulement du KSK racine 2010 vers le KSK 2017 devait avoir lieu il y a près d'un an, mais il a été reporté au 11 octobre de cette année par crainte de perturber la connectivité Internet d'un grand nombre d'utilisateurs du Web. Mais jusqu'à présent, l'ICANN n'a constaté aucune perturbation. L'organisation « qui oeuvre, avec des participants du monde entier, à la préservation de la sécurité, de la stabilité et de l'interopérabilité de l'Internet » a déclaré que « le roulement du KSK racine a été effectué : la nouvelle zone racine signée par le nouveau KSK-2017 a été publiée sur les serveurs racines ». Dans son communiqué l'ICANN précise encore que « le roulement du KSK racine a eu lieu à 16:00 heures UTC, le 11 octobre », et que « la publication de la zone racine porte le numéro de série 2018101100 ». L'organisation invite aussi à « consulter la page principale du roulement pour avoir plus d'informations sur le processus ». Un peu plus tard, elle a précisé que quelques problèmes avaient été signalés au cours des six premières heures qui ont suivi le roulement, et que la plupart avaient été rapidement résolus. Il est possible de suivre l'avancée du roulement à cette adresse.

Une mise en oeuvre retardée d'un an Le mois dernier, le Conseil d'administration de l'ICANN a décidé de lancer le roulement dont il avait retardé la mise en oeuvre d'une année. L'ICANN avait annoncé que le roulement aurait peu d'impact, n'excluant pas cependant qu'un petit pourcentage d'utilisateurs d'Internet puisse avoir des problèmes pour la résolution des noms de domaine, c'est-à-dire que certains utilisateurs pourraient avoir des difficultés à atteindre leurs destinations en ligne. L'ICANN avait aussi déclaré que pour les utilisateurs d'entreprise, la mise à jour aurait peu d'impact. D'abord, l'ICANN avait déclaré que plus de 99% des utilisateurs dont les résolveurs sont en cours de validation ne seraient pas affectés par le roulement du nouveau KSK. Normalement, les entreprises ont déjà mis à jour leur logiciel pour effectuer des roulements automatiques (roulement « RFC 5011 ») ou ont installé manuellement la nouvelle clé avant la date du roulement.   

Au cours de cette réunion, l'ICANN a rappelé que l'objectif essentiel de ce déploiement était d'améliorer la sécurité DNS et a insisté sur sa nécessité. En particulier, « l'évolution continue des technologies et des installations Internet, le déploiement de dispositifs IoT et l'augmentation de la capacité des réseaux dans le monde entier, conjugués au manque regrettable de sécurité de ces dispositifs et réseaux, font que les attaquants disposent de plus en plus de capacités à paralyser les infrastructures Internet », a déclaré l'ICANN. Toujours selon l'ICANN, le basculement KSK consiste à générer une nouvelle paire de clés cryptographiques publiques et privées et à distribuer le nouveau composant public aux parties qui utilisent les résolveurs de validation. Ces résolveurs exécutent un logiciel qui convertit des adresses comme reseaux-telecoms.net en adresses réseau IP. « Parmi les résolveurs, on trouve soit des fournisseurs de services Internet, soit des administrateurs de réseaux d'entreprise et d'autres opérateurs de résolveurs DNS, des développeurs de logiciels de résolution DNS, des intégrateurs de systèmes et des distributeurs de matériel et de logiciels qui installent ou fournissent l'« ancre de confiance » de la racine », a déclaré l'ICANN.

AdTech Ad



Free Pro recrute Francis Weill pour piloter les alliances et les...

Auparavant à la tête du marketing, des partenaires et des alliances de Getronics, Francis Weill a pris les rênes des ventes entreprises et alliances chez Free Pro. Dans un post publié à l'intention de son...

le 28/12/2022, par Fabrice Alessi, 178 mots

Un marché de 141 Md$ en 2030 pour les services de communication par...

Les déploiements de constellations de satellites en orbite terrestre basse et l'extension de la couverture du réseau terrestre devraient faire décoller le marché mondial des services de communication par...

le 23/11/2022, par Sasha Karen, ARN (adaptation Jean Elyan), 449 mots

La FCC invitée à tester les interférences du WiFi 6E

Selon la NSMA, une association américaine qui scrute l'usage des fréquences radio, les réseaux sans fil des services publics, des services d'urgence et des autorités de transport pourraient être affectés par...

le 06/09/2022, par Jon Gold, IDG NS ( adapté par Jean Elyan), 606 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...