Aujourd’hui, l’ICANN a créé une nouvelle clé de signature de clé de la zone racine (KSK). Cette nouvelle paire de clés cryptographiques (publique et privée) a été générée lors de la cérémonie trimestrielle des clés dans notre structure sécurisée de gestion des clés à Culpeper, en Virginie. Avec cette génération de clé, l’étape opérationnelle initiale du premier renouvellement de la KSK de la zone racine (la procédure qui consiste à modifier la « clé principale » du système des noms de domaine (DNS)) a commencé. Le processus de renouvellement de la KSK devrait prendre environ deux ans.
La KSK de la zone racine est le point de départ fiable pour la validation des extensions de sécurité du DNS (DNSSEC), de la même façon que la zone racine elle-même sert de point de départ pour la résolution du DNS. Le logiciel qui exécute la validation DNSSEC fait confiance à la partie publique de la KSK de la zone racine, qui a été configurée dans les résolveurs et connue comme l’« ancre de confiance » de la racine. Le logiciel de validation DNSSEC commence par l’ancre de confiance pour construire une « chaîne de confiance » des clés successives et des signatures afin de vérifier l’authenticité des données signées dans les réponses du DNS. Cependant, tout comme n’importe quel mot de passe, la clé de la racine doit être changée périodiquement. L’exécution du renouvellement de la KSK minimise le risque que la clé soit compromise et aide à s’assurer que nous avons la capacité de changer la clé au cas où celle-ci serait compromise ou perdue.
Maintenant que la nouvelle clé a été générée, elle sera préparée pour sa mise en service dans les prochains mois. Une copie de la partie privée de la paire de clés sera déposée dans la deuxième structure de gestion des clés de l’ICANN à El Segundo, en Californie. Le fichier de l’ancre de confiance disponible sur iana.org sera mis à jour avec la nouvelle KSK en février 2017. Les intégrateurs et développeurs de logiciels DNS doivent alors inclure la nouvelle clé dans leurs produits. La nouvelle KSK deviendra largement visible lorsqu’elle sera publiée pour la première fois dans le DNS le 11 juillet 2017. Toutes ces activités conduiront à l’événement actuel de renouvellement lorsque la nouvelle clé sera utilisée pour la signature dans la zone racine pour la première fois, à savoir le 11 octobre 2017.
Les opérateurs de réseaux qui ont permis la validation DNSSEC sur leurs résolveurs du DNS devront mettre à jour leurs systèmes avec la nouvelle racine KSK dès qu’elle sera publiée.
Si après le 11 octobre 2017 la nouvelle ancre de confiance n’était pas installée, toutes les recherches DNS effectuées par les résolveurs non actualisés auraient des défaillances.
Si ces défaillances se produisaient, les clients qui utilisent ces résolveurs se comporteraient comme si les sites Web, les adresses de courrier électronique et tous les autres domaines n’existaient pas. Heureusement, les résolveurs de validation plus modernes possèdent un mécanisme automatisé de mise à jour de l’ancre de confiance. Toutefois, dès que l’ancre de confiance sera publiée en février 2017, les opérateurs de réseaux devraient s’assurer que la nouvelle ancre de confiance est en place, soit en confirmant sa mise à jour automatique soit en la configurant manuellement.
