jeudi 6 mai 2010

Fiat Lux ! ...du moins dans le DNS

Une petite révolution dans le monde du DNS autour des plus grandes problématiques de ces dernières années :

- DNSSEC : la sécurisation des enregistrements DNS par l'ajout de signatures

- IDNA : permettre à Internet de ne plus parler "qu'occidental". Il s'agit de permettre l'utilisation de l'ensemble de caractère le plus large possible dans le DNS, aussi bien dans le nom de domaine (le "www.google" de "www.google.fr") que dans l'extension (".fr" dans le "www.google.fr")...

En matière de DNSSEC, les root serveurs sont désormais capables de produire des enregistrement signés depuis le 5 mai. A priori, le tout premier de root serveur dénommé A-root ou encore "la racine" attendra encore un peu (1er juin) pour envoyer lui aussi des enregistrements.

On rappellera que DNSSEC permet seulement de vérifier que celui qui vous a envoyé les informations DNS est bel et bien légitime pour le faire. Les attaques par déni de service par exemple sont traitées par un autre moyen (cf. anycast par exemple).

Pour être honnête, j'ai été très curieux de savoir si Internet allait "tomber" ou non considérant que l'implémentation de DNSSEC réclame plus de doigté que le protocole DNS, par ailleur assez tolérant vis-à-vis des erreurs de configuration.

Bon, Internet marche toujours, du moins son service DNS et on peut donc féliciter les gestionnaires des root-serveurs. Evidemment, c'est un peu plus compliqué que cela considérant que la plupart des zones ne sont pas encore signées. Donc, pas de souci d'erreur de configuration ! Par ailleurs, le cache et les résolveurs récursifs (qui font le travail de résolution à votre place) etc. contribuent à rendre les pannes moins visibles.

Quant aux IDNA, il s'agit donc de rendre possibles les caractères différents du jeu de caractère dit ASCII. Il faut reconnaître la limitation de ce jeu de caractère qui ne permet que très peu de chose.

Cette innovation concerne donc aussi bien les noms de domaines contenant un "ç" que les caractères arabes ou chinois. Ainsi, désormais existent les extensions suivantes :

Egypt: مصر (Egypt)

Saudi Arabia: السعودية (AlSaudiah)

United Arab Emirates: امارات (Emarat)

Les caractères arabes visibles ici sont des extensions. Elles sont situées à la fin du nom de domaine (comme la partie .fr).

Le défi était bien évidemment de conserver l'unicité de chaque enregistrement. A cette fin, une technique intermédiaire (Punycode)permet de transformer un nom de domaine internationalisé de manière unique et réversible. C'est à dire que la présence d'un "ç" dans un nom de domaine ou d'un "훈민정음" est transformé en "xn--7ca" et "xn--lg3by0shrak48b".

Autrement dit, les extensions sont différentes ainsi que les noms de domaine car tout cela doit bel et bien être unique. D'après ma compréhension de ce sujet un peu délicat (j'avoue..), le مصر n'est pas un moyen alternatif de contacter le ".eg" de l'Egypte. C'est bel et bien une extension différente dont la signification - "misr" - serait directement traduisible (en langage humain) par Egypte.

Bref, de quoi réjouir les entreprises et autres possesseurs de noms de domaines institutionnels, marques qui vont, à nouveau, devoir acheter, ou du moins protéger, leur acquis commerciaux.

Source :

http://www.icann.org/en/announcements/announcement-05may10-en.htm

http://www.computerworld.com.au/article/345586/icann_verisign_place_last_puzzle_pieces_dnssec_saga/?fp=4&fpid=78268965

http://isc.sans.org/diary.html?storyid=8746

http://news.hostexploit.com/hosts-and-registrars-news/3771-dnssec-unlikely-to-break-internet-on-may-5.html

Aucun commentaire:

Enregistrer un commentaire