Root KSK Rollover dès le 11 octobre

08.10.2018

DNS prévoit une importante mise à jour de sécurité le 11 octobre. En principe, l’utilisateur ne remarquera rien... Mais de quoi s’agit-il exactement ?

DNS Root Zone et clés KSK

Commençons par le commencement : on parle ici du Domain Name System ou DNS. Le DNS est comparable à un immense tableau où les noms de domaine sont associés aux adresses IP des serveurs sur lesquels sont physiquement hébergés les sites web auxquels ils renvoient. Un outil super-pratique, car il vous évite de devoir mémoriser l’adresse IP d’un site ; il vous suffit de taper le nom de domaine. Et c’est encore plus pratique depuis l’introduction du nouveau protocole IPv6, qui se compose de pas moins de 128 bits et se présente sous une forme semblable à ceci :  2001:db8:0:1234:0:567:8:1 (pas facile à retenir n’est-ce pas?)

La zone DNS root  est donc très importante. Pour éviter le piratage de données DNS lorsqu’elles transitent par le réseau, une extension spéciale - DNSSEC (Domain Name System Security Extensions) – a été créée il y a une dizaine d’années. 

Cette extension a pour but d’empêcher que quelqu’un intercepte par exemple le trafic vers votrebanque.be  et détourne tout ce trafic pour effectuer des opérations frauduleuses sur votre compte bancaire. 

DNSSEC fonctionne avec un système de sécurité à deux clés : la Zone Signing Key (ZSK) et la Key Signing Key (KSK). La clé ZSK est changée tous les trois mois ; mais la clé KSK date de 2010... Il était donc grand temps de la changer. Cette mise à jour est prévue pour le 11 octobre et porte le nom de KSK Rollover.

DNS Resolvers et DNSSSEC

D’un côté, on a la zone DNS root, et de l’autre les 'resolvers', le côté client de DNS ; les resolvers se trouvent sur les serveurs de prestataires comme Telenet et Proximus par exemple. Ils cherchent le nom de domaine dans la base de données DNS et le convertissent dans l’adresse IP correspondante. 

Qui plus est, des DNS-resolvers de validation vérifient la signature DNSSEC, si elle a été activée pour le nom de domaine DNSSEC. La non-validation d’une signature est assimilée à une faille de sécurité et le resolver de validation envoie un message d’erreur au client. 

Le processus de validation effectué par les resolvers est basé sur ce que l’on appelle des 'trust anchors', qui sont en réalité des copies des clés correspondant à la clé KSK dans la zone root. Les trust anchors sont en général paramétrés par les éditeurs du logiciel resolver (ce qui nécessite une nouvelle version) ou automatiquement si le logiciel resolver RFC5011 a été installé. Cette deuxième option peut aussi être exécutée manuellement.

Entretemps, c’est ce qui s’est passé pour de nombreux resolvers de validation. Lorsqu’on a annoncé que la clé KSK 2017 remplacerait la KSK 2010, les prestataires concernés ont exécuté une mise à jour via  RFC 5011, ou ont reçu automatiquement une mise à jour de l’éditeur du logiciel.

KSK Rollover

En principe, tout est donc prêt pour cette importante opération, qui se déroulera en toute transparence pour l’utilisateur. Au départ, le changement était planifié pour le 11 octobre 2017, mais comme on craignait que trop peu de prestataires concernés aient adapté leurs trust anchors pour cette date, l’opération a été reportée de 1 an.  Grâce à une option du protocole DNS introduite récemment, un resolver pouvait indiquer aux root servers quelles étaient les clés configurées. A l’époque, le nombre de trust anchors correctement paramétrés semblait extrêmement réduit. 

De nombreux efforts ont été déployés depuis pour atténuer les conséquences du problème et  l’ICANN a dès lors décidé de procéder à la mise à jour - sur la base des données actuelles et de l’impact estimé. Le 11 octobre 2018 à 18h, heure belge, le changement sera exécuté. Pendant 48 heures, l’ancienne et la nouvelle clé fonctionneront en parallèle. Ensuite, seule la clé KSK 2017 sera opérationnelle.

En principe, l’utilisateur ne remarquera rien. Les principaux prestataires belges ne travaillent pas avec la validation DNSSEC, de sorte que ce rollover ne fera absolument aucune différence pour l’utilisateur. Ce sont surtout les utilisateurs d’entreprises qui travaillent avec leurs propres serveurs de noms qui risquent de subir quelques conséquences. Si le serveur de noms exécute une validation DNSSEC et que les trust anchors n’ont pas été adaptés, les utilisateurs ne pourront plus visiter de sites utilisant un nom de domaine DNSSEC  - qu’ils portent l’extension  .be ou  .com.  Il ne leur reste donc que très peu de temps pour se préparer !

Curieux d’en savoir plus ? Lisez "What to Expect during the Root KSK Rollover" de l’ICANN  et notre annonce sur le report du déploiement en 2017.


 

ICANN

Internet Corporation for Assigned Names and Numbers, une asbl  responsable au niveau mondial de la gestion des noms de domaine

serveur

Est un programme informatique ou un dispositif matériel qui offre des services à d’autres programmes informatiques ou des utilisateurs.

DNS

Domain Name System, littéralement Système de Noms de Domaine. Le DNS est le protocole internet qui assure la conversion entre les noms de domaine et les adresses IP et vice versa.

DNSSEC

(Domain Name System Security Extensions) est une extension de la sécurité sur le protocole DNS existant : le but en est d'éviter que des criminels ne dévient les utilisateurs, à leur insu, vers des sites frauduleux.
Sécurité