Les opérateurs de réseaux et les fournisseurs de services Internet (FSI) ont encore le temps de tester leurs résolveurs récursifs pour s'assurer qu'ils sont prêts pour la modification restante des clés cryptographiques qui aident à protéger le système des noms de domaine (DNS).
Les opérateurs peuvent utiliser une plateforme d'essai déployée par l'ICANN pour confirmer que leurs résolveurs ayant une validation DNSSEC activée suivront correctement le roulement à venir de clé de signature de clé (KSK) des extensions de sécurité du système des noms de domaine (DNSSEC) de la zone racine.
L'ICANN a lancé une plateforme de test en mars 2017, qui est spécifiquement conçue pour permettre aux opérateurs de réseaux et aux autres parties prenantes de confirmer que leurs systèmes sont en mesure de gérer le processus de mise à jour de l'ancre de confiance automatisée pour le roulement KSK de la zone racine.
Pour participer au test, les opérateurs de réseaux et les FSI ont joint une liste de diffusion qui leur donne les mesures à prendre et quand réaliser ces tests. Il est possible d'adhérer à n'importe quel moment, mais le test entier prend 45 jours, les résultats les plus importants étant disponibles environ 30 jours après le début du test.
Comme le roulement de la KSK est prévu le 11 octobre 2017, nous encourageons les opérateurs de résolveurs récursifs ayant une validation activée du DNSSEC à s'assurer que leurs systèmes sont bien mis à jour avec la nouvelle KSK de la zone racine configurée comme une ancre de confiance. Si ces systèmes ne supportent pas le protocole de mise à jour de l'ancre de confiance automatisée ou qu'ils ne le mettent pas en œuvre correctement, l'ancre de confiance doit être configurée manuellement. Si une ancre de confiance d'un résolveur récursif n'est pas mise à jour, la résolution du DNS échouera pour tous les clients utilisant ce résolveur récursif, entrainant une recherche « hôte non trouvé » ou un message d'erreur similaire.
L'ICANN a publié des instructions pour la mise en œuvre des configurations pour les résolveurs récursifs populaires afin de déterminer si la nouvelle KSK de la zone racine est correctement configurée comme ancre de confiance.
L'ICANN a également publié des instructions pour la mise en œuvre des configurations pour les résolveurs récursifs les plus populaires afin que ceux-ci utilisent le protocole d'ancre de confiance automatisé pour rester à jour avec la KSK de la zone racine la plus récente.
Vous pouvez en savoir plus sur le roulement de la KSK de la zone racine en visitant notre page Web ici. Vous pouvez également avoir accès à la page de la plateforme d'essai ici ou poser des questions à ce sujet en écrivant à automated-ksk-test@research.icann.org.
