D’ici la fin de l’année, la zone racine du système des noms de domaine (DNS) contiendra des données supplémentaires qui permettront aux opérateurs de réseau de valider son contenu. Le nouveau mécanisme repose sur un « résumé de message » normalisé, une méthode mathématique permettant aux logiciels de confirmer qu’ils disposent d’une copie complète et non corrompue des données. Dans la zone racine, la représentation des données du résumé de message - dit enregistrement « ZONEMD » - semble indéchiffrable, mais fournit des informations dont le logiciel a besoin pour valider le contenu de la zone racine :
. 86400 IN ZONEMD 2023091300 1 1 (
FEBE3D4CE2EC2FFA4BA99D46CD69D6D29711E55217057BEE
7EB1A7B641A47BA7FED2DD5B97AE499FAFA4F22C6BD647DE )
Une approche par étapes
Cette nouvelle fonctionnalité sera mise en œuvre le 13 septembre 2023, date à laquelle la zone racine commencera à être publiée avec les nouvelles données de résumé de message. Pendant les premiers mois, le résumé de message sera intentionnellement non vérifiable. À l’instar de l’approche adoptée pour l’introduction des extensions de sécurité du système des noms de domaine (DNSSEC) dans la zone racine en 2010, cette période est l’occasion de déterminer si un logiciel important présente des problèmes avec le nouvel enregistrement, avant qu’il ne devienne vérifiable.
Après quelques mois de mise à disposition de l’enregistrement, la zone racine devrait commencer à être publiée avec un enregistrement ZONEMD entièrement vérifiable à compter du 6 décembre 2023. À partir de ce moment, quiconque téléchargera une copie complète de la zone racine pourra utiliser ce mécanisme pour confirmer que la reproduction est exacte avant de l’utiliser.
Quel impact pour vous ?
Sauf si vous utilisez ZONEMD à des fins spécifiques, ce changement n’aura pas d’impact sur vous. Le fonctionnement quotidien de la zone racine n’est pas affecté et les usages classiques du DNS continueront à se dérouler comme d’habitude. ZONEMD permet toutefois de renforcer la sécurité pour les applications, notamment lorsqu’il s’agit de résolveurs utilisant la technique « hyperlocale », qui s’appuie sur le téléchargement de copies de la zone racine pour fonctionner.
Rôle du Comité de révision de l’évolution de la zone racine
L’introduction de ZONEMD est la première nouvelle fonctionnalité de la zone racine recommandée par le Comité de révision de l’évolution de la zone racine (RZERC). Ce comité créé en 2016 est composé de représentants de nombreux groupes de la communauté de l’ICANN qui apportent leurs conseils à l’ICANN sur des changements significatifs au niveau de l’architecture et du fonctionnement de la zone racine. Dans ses recommandations, le RZERC a soutenu la mise en œuvre de ZONEMD dans la zone racine. Les recommandations encourageaient également les ingénieurs logiciels à implémenter ZONEMD et à envisager de l’activer par défaut pour les données de zone racine desservies localement.
Pour les opérateurs de réseau
Notre partenaire pour la gestion de la zone racine, Verisign, a envoyé des notifications aux principales communautés DNS concernées pour leur communiquer les spécificités du déploiement. Nous continuerons à travailler en étroite collaboration avec eux pour suivre tout problème causé par ces changements et adapter nos plans opérationnels en conséquence.
