jeudi 25 mars 2010

DNSSEC sur les serveurs racines !

Selon une information récente, 3 instances des serveurs racines du DNS seront dés aujourd'hui en mesure de fournir des informations au public, signées avec l'extension DNSSEC du protocole DNS.

Il s'agit des instances suivantes :

=> K-Root : DNSSEC actif depuis, à priori, 5h du matin. Il est géré par RIPE-NCC également RIR ou gestionnaire de pool IP pour la zone Europe).

=> D-Root : DNNSEC actif depuis 3h du matin. Il est géré par l'université du Maryland

=>E-Root : l'extension sera active en début de soirée. Il est géré par la NASA.

Cette nouvelle est à priori très importante car il s'agirait de la première fois que des root-servers sont en mesure de délivrer des informations signées. Elle est cependant à confirmer car de nombreuses mesures de tests ont été prises auparavant permettant de tester les configurations et l'usage des clés.

Fruit d'un accord entre VeriSign, ICANN et NTIA, la mise en place de DNSSEC au sein la racine est déjà un travail bien avancé. La signature effective de la racine n'était cependant, à priori, pas utilisable, dans la réalité.

La gestion des clés de signatures reste également un problème politique peu ou mal résolu.

En effet, l'extension DNSSEC alourdit le protocole notamment en agrandissant la taille des paquets distribués mais aussi en imposant un effort de configuration plus long et plus précis. Toute erreur est susceptible d'avoir un impact sur la disponibilité alors que la version première du DNS est plus résiliente.

Loin d'être en retard, l'AFNIC, le gestionnaire de la zone française (.fr) sur Internet prévoit de communiquer ses propres paramètres de signature en juin 2010.

Source :

http://news.hostexploit.com/hosts-and-registrars-news/3521-more-security-for-root-dns-servers.html


http://www.afnic.fr/afnic/r_d/dnssec

http://www.bortzmeyer.org/jres-dnssec-2009.html

Aucun commentaire:

Enregistrer un commentaire