Le 11 juillet 2017, un nouveau KSK (Key Signing Key) va apparaître dans la zone racine DNS. Cette clé étiquetée KSK-2017 (porte-clé: 20326) remplacera à terme KSK-2010, qui est la paire de clés cryptographiques la plus utilisée dans le protocole DNSSEC depuis la signature de la zone racine en juillet 2010. C'est la première fois. dans l'histoire que l'ICANN est en train de modifier la KSK de la zone racine dans le cadre des meilleures pratiques de sécurité normales.
Qu'est-ce qu'une KSK de la zone racine?
La KSK de la zone racine est connue comme l'ancre de confiance de l'infrastructure DNSSEC, ce qui signifie qu'elle n'est elle-même pas signée par une autre clé, comme c'est le cas pour les clés descendant dans la hiérarchie DNS. C'est pourquoi, la clé racine doit être configurée en tant qu'ancre de confiance dans tous les validateurs DNSSEC tels que les serveurs de noms récursifs DNS et les résolveurs DNS, qui sont exploités par les fournisseurs d'accès Internet (FAI) et d'autres opérateurs de réseau. L'échec de la mise à jour vers la KSK de la nouvelle zone racine entraînera une erreur de validation DNSSEC et les requêtes DNS ne seront pas résolues.
Le nouveau KSK de la zone racine avec le keytag 20326
Comment cela fonctionne ?
DNSSEC est un protocole de sécurité conçu pour ajouter des services d'authentification et d'intégrité des données au DNS. Les informations de zone peuvent désormais être signées de manière cryptographique et les clients DNS peuvent valider les signatures en récupérant la clé publique de la zone, qui est également stockée dans le fichier de zone. Cependant, pour pouvoir faire confiance aux clés publiques, nous avons besoin d'une «chaîne de confiance». Contrairement au modèle X.509, DNSSEC n'a pas d'autorité de certification (CA) qui peut garantir l'authenticité des clés publiques. Au lieu de cela, DNSSEC construit une «chaîne de confiance» commençant par «l'ancre de confiance», une clé qui est déclarée comme faisant autorité et digne de confiance.
Pour valider une signature, le validateur doit commencer par «l'ancre de confiance», puis il validera l'ensemble de l'arborescence DNSSEC jusqu'à ce qu'il atteigne le fichier de zone de l'enregistrement, qui contient les informations de clé publique. En utilisant la clé publique, le validateur peut désormais vérifier la signature du RRset DNSSEC. De toute évidence, le processus de validation est en réalité plus compliqué car il implique à la fois KSK et ZSK.
À titre d'exemple simple, disons que votre navigateur souhaite accéder à www.example.org, votre validateur DNSSEC effectuera les opérations suivantes:
- Récupérez «l'ancre de confiance», c'est-à-dire le KSK de la zone racine installé localement
- Récupérez le RRset .org DNSKEY dans la zone racine et valide la signature à l'aide du KSK de la zone racine
- Récupérez la clé publique de la zone .org
- Obtenez le RRset .example.org DNSKEY et validez la signature à l'aide de la clé publique .org
- Obtenez la clé publique de la zone .example.org
- Obtenez le RRset www.example.org DNSKEY et validez la signature à l'aide de la clé publique .example.org
Il est donc nécessaire pour tout appareil effectuant une validation DNSSEC d'avoir le KSK de la zone racine configuré en tant qu'ancre de confiance.
Que se passera-t-il le 11 octobre 2017?
À partir du 11 octobre 2017, le KSK de la nouvelle zone racine commencera à signer DNSKEY RRset, mais le KSK de l'ancienne zone racine sera toujours présent dans la zone racine jusqu'au 11 janvier 2018. Ceci, pour continuer à permettre la validation des signatures à l'aide de l'ancien KSK.
Comment obtenir la nouvelle ancre de confiance?
Toute organisation exploitant un validateur DNSSEC doit s'assurer que son système dispose de la dernière ancre de confiance. Il existe deux façons de mettre à jour l'ancre de confiance dans votre validateur DNSSEC:
- Manuellement: vous devez obtenir une copie de l'ancre de confiance auprès d'une source officielle et vous assurer qu'elle est authentique avant de mettre à jour manuellement vos configurations. Il est recommandé d'utiliser le fichier d'ancrage de confiance de la zone racine fourni par IANA. Vous devez également valider le signature détachée fourni par l'IANA, signé par le CA ICANN, pour vous assurer que l'ancre de confiance est valide.
- Automatiquement: si votre résolveur compatible DNSSEC ou votre serveur de noms récursif est configuré pour RFC5011, il devrait recevoir des mises à jour automatiques des ancres de confiance DNSSEC et aucune autre action n'est requise. Toutefois, si les validateurs DNSSEC sont hors ligne pendant le processus de substitution, ils devront être mis à jour manuellement s'ils sont mis en ligne une fois la substitution terminée.
Timeline
| 11 Juillet 2017 | Nouveau KSK publié dans DNS |
| Février 11 | Le nouveau KSK commence à signer l'ensemble de clés de la zone racine (l'événement de survol réel) |
| 11 Janvier 2018 | Révocation de l'ancienne KSK |
| 22 Mars 2018 | Dernier jour, l'ancien KSK apparaît dans la zone racine |
| Août 2018 | L'ancienne clé est supprimée de l'équipement dans les deux installations de gestion de clés de l'ICANN |
Quelques références:
Matériel ICANN:
Site Web de l'ICANN KSK Rollover
Présentation AFRINIC-25:
Lancement de la KSK de la zone racine DNSSEC
Banc d'essai:
Banc de test automatisé de mise à jour d'ancrage de confiance
Requêtes
Pour toute question concernant le rollover KSK de la zone racine DNSSEC, contactez-nous au cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir.
