fr

L'ICANN révoque cette semaine l'ancienne clé de signature de clé

7 janvier 2019

Paul HoffmanPaul Hoffman, Distinguished Technologist

Si vous avez suivi le roulement de la nouvelle clé de signature de clé (KSK) de la zone racine le 11 octobre 2018, vous pensez peut-être que le processus est arrivé à terme. Pourtant, quelques mesures techniques importantes supplémentaires doivent être mises en œuvre avant l'achèvement du roulement de la KSK. L'une de ces mesures consiste à révoquer l'ancienne clé, ce qui sera fait le 11 janvier 2019.

La zone racine actuelle comprend deux KSK : l'ancienne (appelée « KSK-2010 ») et la nouvelle (appelée « KSK-2017 »). Depuis le roulement, seule la KSK-2017 est utilisée pour la signature de l'ensemble de clés de la zone racine, à savoir toutes les clés des extensions de sécurité du système des noms de domaine (DNSSEC) au niveau de la racine. Maintenant que la KSK-2010 n'est plus utilisée afin de générer des signatures, il est temps d'officialiser sa révocation et de la supprimer de la zone racine.

Avant que nous supprimions l'intégralité de la KSK-2010 de la zone, nous souhaitons officialiser sa révocation pour tous les résolveurs qui suivent la norme « Mises à jour automatiques des ancres de confiance des DNSSEC » (RFC 5011). En officialisant la révocation de l'ancienne clé, tout système utilisant le RFC 5011 se rendra compte que la KSK-2010 n'est plus valide et ne fera plus confiance à cette clé. La révocation sera visible jusqu'au 22 mars 2019, date à laquelle la KSK-2010 sera complètement et pour toujours supprimée de la zone racine.

La révocation entraînera une légère augmentation de la taille de l'ensemble de clés de la zone racine. Selon l'organisation ICANN, aucun problème lié à la révocation ne se posera. Toutefois, c'est la première fois qu'une KSK dans la racine du système des noms de domaine (DNS) est révoquée ; l'organisation ICANN et la communauté technique du DNS assureront donc un suivi étroit pendant les 48 heures qui suivront la publication de la KSK-2010 révoquée.

L'organisation ICANN encourage vivement les fournisseurs à ne plus envoyer la KSK-2010 dans leurs produits. De même, quiconque met à jour manuellement sa liste d'ancres de confiance de la racine du DNS doit supprimer la KSK-2010 de ses configurations.

Nous ferons part de tout problème significatif que nous constaterons sur la liste de diffusion ksk-rollover@icann.org, notre support de communication habituel pour le roulement de la KSK.

Distinguished Technologist

Paul Hoffman

Read biographyRead biography