Skip to main content

Attention opérateurs réseau et FSI : êtes-vous prêt pour le roulement de clé de signature de clé ?

 

Les opérateurs réseau et les fournisseurs de services Internet (FSI) ont encore le temps de tester leurs résolveurs récursifs pour s'assurer qu'ils sont prêts pour la modification restante des clés cryptographiques qui aident à protéger le système des noms de domaine (DNS).

Les opérateurs peuvent utiliser une plateforme d'essai déployée par l'ICANN pour confirmer que leurs résolveurs ayant une validation DNSSEC activée suivront correctement le roulement à venir de clé de signature de clé (KSK) des extensions de sécurité du système des noms de domaine (DNSSEC) de la zone racine.

L'ICANN a lancé une plateforme de test en mars 2017 qui est spécifiquement conçue pour permettre aux opérateurs réseau et aux autres parties prenantes de confirmer que leurs systèmes sont en mesure de gérer le processus de mise à jour de l'ancre de confiance automatisée pour le roulement KSK de la zone racine.

Pour participer au test, les opérateurs réseau et les FSI ont joint une liste de diffusion qui leur donne les mesures à prendre et quand réaliser ces tests. Il est possible d'adhérer à n'importe quel moment mais le test entier prend 45 jours, les résultats les plus importants étant disponibles environ 30 jours après le début du test.

Comme le roulement KSK est prévu le 11 octobre 2017, nous encourageons les opérateurs de résolveurs récursifs ayant une validation activée du DNSSEC à s'assurer que leurs systèmes sont bien mis à jour avec le nouveau KSK de la zone racine configuré comme une ancre de confiance. Si ces systèmes ne supportent pas le protocole de mise à jour de l'ancre de confiance automatisée ou qu'ils ne le mettent pas en œuvre correctement, l'ancre de confiance doit être configurée manuellement. Si une ancre de confiance d'un résolveur récursif n'est pas mise à jour, la résolution du DNS échouera pour tous les clients utilisant ce résolveur récursif entrainant une recherche « hôte non trouvé » ou un message d'erreur similaire.

Vous pouvez en savoir plus sur le roulement KSK de la zone racine en visitant notre page Web ici. Vous pouvez également avoir accès à la page de plateforme d'essai ici ou poser des questions à ce sujet en écrivant à automated-ksk-test@research.icann.org.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."