Blogs de la ICANN

Los blogs de la ICANN brindan información actualizada sobre actividades de desarrollo de políticas, eventos regionales y demás novedades.

Un impact minimal sur l'utilisateur suite au roulement de la clé de signature de clé (KSK) de la zone racine

18 de julio de 2018
Por

L'organisation de l'ICANN estime qu'une mise à jour de l'ancre de confiance des extensions de sécurité du système des noms de domaine (DNSSEC) pour le système des noms de domaine (DNS) le 11 octobre 2018 n'aura un impact que sur un petit nombre d'utilisateurs du DNS. La décision de réaliser le roulement de la clé de signature de clé (KSK) de la zone racine a été prise après une sensibilisation et une prise en considération attentive de l'ensemble des données disponibles.

Étant donné que la zone racine du DNS a été initialement signée en 2010, la déclaration de pratiques et de politiques du DNSSEC1 a fixé les attentes de la modification de la KSK de la zone racine. Heureusement, la plupart des résolveurs de validation qui observent une nouvelle KSK de la zone racine devraient être en mesure de la configurer comme une nouvelle ancre de confiance en utilisant les « Mises à jour automatiques des ancres de confiance des extensions de sécurité du système des noms de domaine (DNSSEC) » définies dans le RFC50112. Les opérateurs de résolveurs peuvent également mettre à jour manuellement la configuration de leur ancre de confiance s'ils ont été bien informés que la KSK de la zone racine change suite aux initiatives de sensibilisation de l'ICANN.

Il n'y a pas de manière standardisée ou déterministe de mesurer si un résolveur de validation a configuré l'ensemble de ses ancres de confiance. La meilleure méthode qui existe actuellement est le « Signalement de la connaissance de l'ancre de confiance dans les extensions de sécurité DNS » (fourni dans le RFC 81453) qui a été publié en avril 2017. Dans ce protocole, les validateurs remettent une requête DNS qui contient les identifiants clés DNSKEY des ancres de confiance configurées dans la requête. Ces requêtes peuvent être observées dans le trafic des serveurs racine. En septembre 2017, une poignée de résolveurs a utilisé ce protocole et les annonces d'ancres de confiance ont montré un pourcentage élevé d'ancres de confiance mal configurées par rapport à ce qui avait été initialement prévu. Cependant, le signal observé à ce moment-là n'a pas été bien compris et l'organisation de l'ICANN décida donc de reporter le roulement KSK de la zone racine pour mieux comprendre le signal avec l'aide de la communauté technique.

Des recherches plus approfondies notamment du bureau du directeur de la technologie de l'ICANN ont révélé des inquiétudes quant à la qualité des données du RFC 8145. Par exemple, une requête DNS rapportant les informations d'une ancre de confiance qui sont envoyées à un transitaire est traitée de la même manière que toute autre requête et sera envoyée à un serveur racine que le transitaire soit validé ou non. Dans le premier cas, une mise en œuvre générale du résolveur du DNS a signalé l'ancre de confiance même si le résolveur n'était pas configuré pour la validation et n'aurait donc pas la nouvelle ancre de confiance. Cette décision de mise en œuvre a été inversée pour la publication ultérieure du logiciel. Dans le second cas, une bibliothèque du résolveur du DNS connu a signalé l'ancre de confiance mais n'avait pas la méthode pour mettre à jour automatiquement la configuration de son ancre de confiance. En conséquence, le déploiement unique d'une mise en œuvre générale du VPN pour un utilisateur unique utilisant cette bibliothèque du résolveur du DNS pourrait émettre l'ancien signal de l'ancre de confiance à partir d'adresses IP sources différentes. Wes Hardaker à l'Université de Southern California Information Sciences Institute a découvert ce comportement et le vendeur utilisant la bibliothèque a été informé et a mis à jour le logiciel. Cette modification a permis de réduire de manière significative le nombre de sources rapportant d'anciennes ancres de confiance.4

Cependant, les données du RFC 8145 ne singalent que les résolveurs, elles n'indiquent pas le nombre d'utilisateurs finaux tributaires de ces résolveurs. Pour comprendre la taille de la population d'utilisateurs derrière les résolveurs de validation, le registre Internet régional pour la région Asie-Pacifique (APNIC) a utilisé un système de mesure qui utilise le réseau publicitaire de Google pour faire une requête sur le DNS. En analysant le croisement de l'ancre de confiance de l'ICANN signalant les sources avec leur propre résolveur puis en les extrapolant, l'APNIC a calculé que seulement 0,05 % des utilisateurs Internet seraient touchés de manière négative par le roulement KSK de la zone racine.5

L'ICANN atteindra bientôt les 1 000 fournisseurs de services Internet (FSI) avec le trafic de résolveur le plus actif, montrant ainsi que la validation du DNSSEC a été permise pour s'assurer qu'ils soient bien informés que le roulement KSK de la zone racine aura lieu le 11 octobre 2018. Ces FSI seront également interrogés sur leur préparation au roulement qui pourrait permettre à ces opérateurs résolveurs d'être davantage informés du roulement KSK.

Depuis la première annonce de l'élaboration de plans pour se préparer au roulement de l'ancre de confiance en 2015, l'organisation de l'ICANN a maintenu une campagne de sensibilisation qui, à ce jour, inclut près d'une centaine d'engagements oraux lors de conférences internationales, régionales et nationales et plus de 150 nouvelles histoires dans la presse technique. L'organisation de l'ICANN a publié neuf articles de blog en lien avec le roulement de l'ancre de confiance et continue de demander aux FSI d'inclure des résolveurs de validation dans leur réseau mais qui, depuis le RFC 8145, ne semble pas avoir réalisé la nouvelle configuration de l'ancre de confiance.

Suite aux initiatives et aux données collectées, l'organisation de l'ICANN a permis d'accroître la confiance dans le roulement KSK de la zone racine prévu le 11 octobre 2018 et qui aura un impact sur une toute petite partie des utilisateurs du DNS.

 


1 https://www.iana.org/dnssec/icann-dps.txt

2 https://datatracker.ietf.org/doc/rfc5011/

3 https://datatracker.ietf.org/doc/rfc8145/

4 http://root-trust-anchor-reports.research.icann.org/

5 http://www.potaroo.net/ispcol/2018-04/ksk.pdf [PDF, 184 KB]

Authors

Baher Esmat

Baher Esmat

VP, Stakeholder Engagement - Middle East & Managing Director MEA