KSK - de quoi s’agit-il ?
Il y a quelques années, le protocole DNSSEC a été développé pour éviter que le trafic DNS ne puisse être modifié par des acteurs externes. Ce protocole fonctionne avec deux types de clés: les Zone Signing Keys (ZSK) et les Key Signing Keys( KSK). Les ZSK sont changées tous les mois. Le dernier changement de la KSK pour la zone .be remonte à 2013.
Calendrier
Le déploiement de la nouvelle KSK .be débutera le 15 novembre. Ce jour-là, la nouvelle KSK sera mise en œuvre aux côtés de l’ancienne KSK dans la zone .be. La nouvelle KSK sera visible pour le monde extérieur et la période d’attente débutera afin que chaque resolver ait la possibilité d’enregistrer cette nouvelle KSK dans sa mémoire cache.
Le 22 novembre, nous débuterons le déploiement dans la root zone. Le déploiement proprement dit aura lieu lorsque PTI, l’organisation qui exerce à présent les fonctions IANA , procèdera au changement sur son infrastructure (root zone). La délégation sera alors transférée de l’ancienne vers la nouvelle KSK. Le 20 décembre, l’ancienne clé sera supprimée et le déploiement de la KSK sera terminé. A partir de ce moment, seule la nouvelle clé sera visible.
Impact limité
Cette opération se déroulera plus que probablement en toute transparence et cela pour plusieurs raisons. Les principaux fournisseurs belges de services internet n’exécutent pas encore de validation DNSSEC, contrairement au 8.8.8.8 du Google resolver par exemple. Par ailleurs, contrairement à ce qui se passe pour la root zone, le but n’est pas que les resolvers codent en dur notre KSK comme trust anchor. Si certains resolvers l’ont fait, nous leur conseillons de changer cela, faute de quoi leurs utilisateurs risquent de ne plus pouvoir visiter certains sites web validés par DNSSEC.
Pour en savoir plus sur DNSSEC ou le déploiement de la ROOT KSK vous pouvez également contacter notre département Support (support@dnsbelgium.be).