Garantir l'intégrité du premier niveau du DNS via les meilleures pratiques en matière de sécurité
En juillet 2010, l'ICANN, Verisign et la NTIA ont ajouté un niveau de protection supplémentaire à la couche supérieure du DNS de l'Internet à l'aide d'une technologie connue sous le nom de DNSSEC, soit extensions de sécurité du système des noms de domaine. Cette technologie a été mise au point afin de protéger les internautes contre les attaques résultant du détournement d'un nom de domaine et de certains types de serveurs fragilisés. Grâce aux DNSSEC, il est plus probable que les informations obtenues via le DNS ne soient pas modifiées lors de leur passage de la source de données vers la machine en posant la question pour le compte d'un utilisateur ; ceci est en effet effectué via la signature numérique et la validation des données du DNS. Cette validation repose sur une « ancre de confiance », ou clé, associée à la racine du DNS.
Comme avec toute clé, tout mot de passe ou tout système de sécurité, l'ancre de confiance doit être régulièrement mise à jour. En se référant aux meilleures pratiques, l'équipe au sein de l'ICANN agissant en tant qu'opérateur des fonctions IANA assistée des autres partenaires de gestion de la zone racine (Verisign agissant en tant que responsable de la maintenance de la zone racine et l'Administration nationale des télécommunications et de l'information (NTIA) du Département du commerce des États-Unis agissant en tant que gestionnaire de la zone racine) a préparé le « roulement » ou changement de la paire de clés cryptographiques privées et publiques qui constitue la clé de signature de clé (KSK) de la zone racine, dont la face publique sert d'ancre de confiance des DNSSEC de l'Internet. Le roulement de la KSK correspond à la génération d'une nouvelle paire de clés et à la diffusion de la composante publique aux parties chargées de développer, diffuser ou exploiter des résolveurs de validation. Le roulement de la KSK peut s'apparenter au changement des clés d'une maison. Dans les cas où les noms de domaine sont signés DNSSEC, chaque fois qu'un internaute tente de se connecter à un serveur identifié par un nom de domaine, la clé est insérée dans la serrure afin de vérifier que les données associées à ce nom de domaine sont authentiques. Toutefois, si la serrure est changée et que les clés n'ont pas été mises à jour, la porte ne s'ouvrira pas, le nom de domaine ne sera pas résolu et la tentative de connexion échouera. L'impact potentiel du roulement met en avant la nécessité de développer et de mieux diffuser l'ancre de confiance pour la nouvelle KSK. Afin de veiller à ce que la communauté soit tenue informée des dernières mises à jour relatives au roulement de la KSK et prenne connaissance de la nouvelle ancre de confiance en découlant, nous avons créé cette page ressources.
Lorsque la communauté Internet a déployé pour la première fois les DNSSEC au niveau de la racine, les partenaires de gestion de la zone racine et la communauté ont précisé qu'« un roulement de la KSK sera effectué via une cérémonie de clé dès que nécessaire ou après 5 ans de fonctionnement ». Bien que certains membres de la communauté aient compris qu'il convenait de modifier la KSK tous les cinq ans, le calendrier de roulement de la KSK doit s'adapter aux réalités opérationnelles de l'Internet. Au cours de l'année écoulée, c'est la transition de la supervision de l'IANA qui a occupé le devant de la scène en termes de communication mais les travaux portant sur le roulement de la KSK se sont poursuivis en parallèle. À l'avenir, afin de veiller à ce que la communauté prenne connaissance de l'ensemble des travaux et afin de garantir la diligence raisonnable des activités de roulement de la KSK, je ferai régulièrement le point sur nos progrès. De plus, nous organiserons des séances lors des réunions de l'ICANN et autres forums techniques afin de fournir de plus amples informations sur le roulement de la KSK et afin d'indiquer les actions devant être réalisées par les personnes concernées afin d'assurer le bon déroulement du roulement de la KSK.
Au cours des semaines à venir, nous fournirons davantage d'informations sur le roulement de la KSK mais voici d'ores et déjà un aperçu du calendrier actuel prévu pour le roulement :
- Octobre 2016 : début du processus de préparation de la nouvelle clé pour le roulement de la KSK
- Novembre 2016 : génération de la nouvelle KSK
- Juillet 2017 : insertion de la nouvelle KSK
- Octobre 2017 : retrait de l'ancienne KSK
- Janvier 2018 : révocation de l'ancienne KSK
- Mars 2018 : fin du processus de roulement de la KSK
Bien évidemment, ce calendrier est sujet à modification si les circonstances le justifient. Le roulement de la KSK, à l'image de la modification périodique de votre mot de passe, constitue une pratique exemplaire et doit être effectué avec précaution afin de veiller à ce qu'il n'entraîne pas de perturbations dans le fonctionnement du DNS de l'Internet.
Les personnes souhaitant participer davantage au roulement de la KSK peuvent rejoindre la liste de diffusion pour discussions publiques sur https://mm.icann.org/listinfo/ksk-rollover ; il vous est également possible d'envoyer vos questions à globalsupport@icann.org en indiquant en objet « Roulement de la KSK ».
Les DNSSEC et le roulement de la KSK contribuent largement à la sécurité et la robustesse du DNS. Nous nous sommes engagés à collaborer étroitement avec nos partenaires de gestion de la zone racine, les opérateurs DNS et la communauté Internet dans son ensemble au fur et à mesure de nos avancées dans ces travaux d'une extrême importance au cours des deux prochaines années. En pleins préparatifs du tout premier roulement de la KSK, nous nous réjouissons, en tant que communauté Internet mondiale, d'améliorer encore la sécurité du Web et de jeter les fondements des futurs travaux qui permettront de faire évoluer l'Internet.
