L'Icann révoquera cette semaine la clé de sécurité DNS KSK-2010

le 08/01/2019, par Michael Cooney, IDG NS (adapté par Jean Elyan), Réseaux, 685 mots

L'Icann achèvera cette semaine le passage à la nouvelle clé de sécurité Internet qui protège le DNS, le carnet d'adresses de l'Internet. L'ancienne clé KSK (Key Signing Key) de la zone racine sera mise hors service le 10 janvier.

L'Icann révoquera cette semaine la clé de sécurité DNS KSK-2010

Cette semaine, l'Internet Corporation for Assigned Names and Numbers (Icann) procèdera à un important ménage après le tout premier changement de clé cryptographique effectué avec succès en octobre dernier. En octobre, la Société pour l'attribution des noms de domaine et des numéros sur Internet a déployé une zone racine plus sécurisée, dénommée Key Signing Key-2017 (KSK-2017), mais le processus n'était pas terminé, car l'ancienne clé KSK-2010 est toujours inscrite dans la zone racine. Le 10 janvier, l'Icann révoquera cette ancienne clé et la retirera de la zone racine. La KSK sert à protéger le carnet d'adresses de l'Internet - le système de noms de domaine (DNS) - et la sécurité Internet en général.

« L'Icann pense que la révocation ne provoquera aucun problème », a écrit Paul Hoffman, responsable de la technologie de l'Icann dans un blog qui donne des informations sur la procédure de révocation. « Cependant, c'est la première fois que l'on révoque le KSK de la zone racine du système de noms de domaine (DNS). L'Icann et la communauté technique du DNS suivront donc de près tout ce qui se passera pendant les 48 heures au moins après la publication de la clé KSK-2010 révoquée ». En effet, Paul Hoffman a expliqué qu'« avant de retirer le KSK-2010 de la zone racine, celle-ci sera marquée comme révoquée pour tous les résolveurs répondant à la norme « Automated Updates of DNSSEC Trust Anchors » (RFC 5011). En marquant l'ancienne clé comme révoquée, tout système utilisant la mise à jour automatique RFC 5011 verra que le KSK-2010 n'est plus valide et ne fera plus confiance à cette clé dans le futur. La marque de révocation sera visible jusqu'au 22 mars 2019, date à laquelle la clé KSK-2010 sera complètement et définitivement retirée de la zone racine ».

Une transition en douceur

L'Icann encourage les fournisseurs à ne plus expédier la clé KSK-2010 dans leurs produits. « De même, nous recommandons à toute personne qui maintient manuellement sa liste d'ancres de confiance DNS de retirer la clé KSK-2010 de ses configurations », a encore écrit le responsable de la technologie de l'Icann. Ce changement est au coeur du projet de l'Icann visant à mettre à niveau la paire supérieure de clés cryptographiques utilisées dans le protocole DNSSEC (Domain Name System Security Extensions) - également connu sous le nom de clé de signature de la zone racine ou simplement KSK - qui sécurise les serveurs vitaux de l'Internet. Par le passé, l'Icann avait fait remarquer qu'en raison de l'absence de déploiement significatif des extensions de sécurité du système de noms de domaine (validation DNSSEC, Domain Name System Security Extensions), les réponses du système de serveurs racine, le Root Server System, étaient exposées aux attaques d'intégrité.

De même, parce que les messages DNS sont censés être envoyés en clair, les utilisateurs du système de serveurs racine sont exposés à des attaques de confidentialité. « Même si ces attaques ne sont pas nécessairement nouvelles, le recours croissant au DNS et donc au système de serveurs racine rend nécessaire la mise en place d'une nouvelle stratégie pour réduire les effets de ces attaques », a déclaré l'Icann. Toujours selon l'Icann, le transfert de KSK effectué en octobre dernier, qui s'est déroulé sans heurts, a impliqué la génération d'une nouvelle paire de clés cryptographiques publiques et privées et la distribution du nouveau composant public aux parties qui utilisent des résolveurs de validation. De tels résolveurs exécutent un logiciel qui convertit les adresses classiques comme lemondeinformatique.fr en adresses réseau IP.

Des changements attendus

« Les résolveurs comprennent les fournisseurs de services Internet, les administrateurs de réseaux d'entreprise et autres opérateurs de résolveurs DNS, les développeurs de logiciels de résolution DNS, les intégrateurs systèmes et les distributeurs de matériel et de logiciels qui installent ou expédient « l'ancre de confiance » de la racine », comme l'a déclaré l'Icann. La société pour l'attribution des noms de domaine et des numéros sur Internet informera sur tout problème important concernant les changements mis en oeuvre cette semaine.

Dell relance son OpenRAN avec AT&T et VMware

L'offre conjointe AT&T, Dell et VMware combine la connectivité 5G, l'infrastructure edge et le support multi-cloud dans un service à la demande. La solution edge multi-accès (Multi-access Edge computing,...

le 12/05/2023, par Andy Patrizio, IDG NS (adapté par Jean Elyan), 662 mots

Alerte de sécurité sur les boitiers SD-WAN Cisco Viptela

Selon Cisco, un certificat matériel expiré dans certains de ses équipements SD-WAN Viptela peut faire tomber les boîtiers. Un certificat de remplacement sera bientôt fourni. Un bug de certificat expiré dans un...

le 11/05/2023, par Michael Conney, Network World (adapté par Jean Elyan), 441 mots

La sécurité, l'IA et le NaaS au coeur des préoccupations d'Aruba...

Selon Aruba Networks, à mesure que les rôles des équipes réseau évoluent, elles devront adopter l'IA et traiter la mise en réseau avec la sécurité. Lors de la conférence clients Atmosphere organisée du 23 au...

le 02/05/2023, par Michael Conney, IDg NS (adapté par Jean Elyan), 1022 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...