Vous le savez normalement déjà, la principale clé cryptographique pour la zone racine du DNS a été modifiée le 11 octobre 2018 suite à une série d'étapes minutieusement orchestrée. Étonnamment, le résultat a été positif : il y a eu beaucoup moins d'utilisateurs Internet impactés négativement par la modification (généralement appelée le roulement) que l'on pensait. Il y a encore des petites choses à régler pour que le roulement soit complètement achevé, mais la mission principale s'est déroulée sans incident.
Petit rappel du contexte : le roulement avait été envisagé depuis la première signature de la zone racine avec le DNSSEC en 2010, et la planification sérieuse commença en décembre 2014 lorsque l'ICANN fit appel aux volontaires au sein de la communauté pour faire partie d'une équipe de conception et développer un plan de roulement pour la clé de signature de clé de la zone racine, ou KSK. (La KSK signe les autres clés de la zone, appelées les ZSKs.) Ce plan a été publié en mars 2016 et examiné par la communauté. L'organisation de l'ICANN a transformé la conception en plans opérationnels spécifiques (détaillés ici), et a commencé à travailler sur ceux-ci début 2017 avec une sensibilisation étendue aux opérateurs de résolveurs pour s'assurer qu'ils étaient prêts.
Le roulement était prévu pour le 11 octobre 2017 mais a été reporté un mois plus tôt à cause de signaux confus observés dans le système de serveur racine. Après que ces signaux aient été rigoureusement examinés, l'ICANN proposa à la communauté [PDF, 162 KB] que le roulement soit déplacé au 11 octobre 2018 et le Conseil d'administration de l'ICANN approuva cette nouvelle date en septembre 2018.
Une fois le 11 octobre arrivé, nous avons passé en revue les plans opérationnels étapes par étapes et, à 16:00 UTC, la KSK utilisée habituellement pour signer la zone racine a été modifiée pour une nouvelle clé qui avait été générée en 2017. Nous avions anticipé le fait que certains opérateurs de résolveurs ne seraient pas prêts même si nous avions pourtant essayé de communiquer avec eux en amont, mais à mesure que l'organisation de l'ICANN et la communauté technique du DNS ont consulté les rapports suite au roulement, il est devenu évident que les opérateurs de résolveurs avaient été bien préparés. Même à l'heure actuelle, plus de deux semaines après le roulement, nous avons su que seule une poignée de résolveurs a été impactée négativement et, pour autant que nous le sachions, tous ont été en mesure de s'en remettre. L'ICANN a entendu parler de seulement deux fournisseurs de services Internet (ISPs) qui ont connu des pannes au moment du roulement et qui ont pu être impactés négativement par le roulement, mais nous n'avons pas été en mesure de discuter avec les personnes pour connaître la cause du problème.
Il reste quelques petites choses à faire. Tout d'abord, l'ancienne clé doit être officiellement supprimée. Le 11 janvier 2019, l'ancienne clé, qui a toujours été publiée au sein de la zone racine, sera modifiée pour indiquer qu'elle n'est plus valide et que les résolveurs doivent la supprimer de leur configuration. Peu après, l'ICANN publiera un livre blanc traitant de l'ensemble du processus de roulement, y compris les leçons apprises grâce à cette initiative. Ensuite, les nombreuses communautés de l'ICANN commenceront à discuter de ce qu'elles attendent des futurs roulements (à quelle fréquence devraient-ils avoir lieu, l'utilisation de clés de 'stand-by', le type de données qu'elles veulent voir avant les roulements, etc.), tout ceci à partir de ce que nous avons appris du roulement et du processus qui l'a précédé.
Si vous souhaitez restez informé des étapes restantes du roulement KSK de la zone racine et des discussions sur les futurs roulements, rejoignez la liste de diffusion roulement-ksk.