L'ICANN se prépare au tout premier changement de clé cryptographique qui protège le système de noms de domaine (DNS) d'Internet, et a donc publié un guide décrivant à quoi s'attendre dans ce processus.
Lien vers le texte des nouvelles de l'ICANN .
Le changement de clé, un processus appelé «mise à jour de la clé de renouvellement de signature de clé (KSK)», est prévu pour le 11 octobre 2018.
Ce nouveau guide de l'ICANN est destiné à un public ayant n'importe quel niveau de connaissances techniques. Les informations fournies sur ce à quoi s'attendre sont conçues pour aider tout le monde à se préparer à la mise à jour clé.
Le guide est publié dans le cadre des efforts continus de l'ICANN pour sensibiliser aux mises à jour clés et fournit une description détaillée de l'ensemble du processus.
Le texte intégral du manuel
est disponible ici .
Le manuel est très utile pour les opérateurs de résolveurs de validation qui veulent des instructions claires sur ce à quoi s'attendre après la mise à jour de la clé, ainsi que pour les journalistes sans spécialisation technique, les blogueurs et autres prévoyant d'écrire sur la mise à jour de la clé avant, pendant et après l'événement.
De plus, le document peut être utile aux chercheurs qui surveilleront le DNS en cas d'échec du résolveur après avoir terminé la procédure de mise à jour des clés.
Bien que l'ICANN prévoit que l'impact d'un changement KSK dans la zone racine sur les utilisateurs sera minime, il est prévu qu'un petit pourcentage d'utilisateurs d'Internet aura des difficultés à résoudre les noms de domaine, ce qui signifie dans une langue non technique qu'ils auront du mal à atteindre leur destination en ligne .
Actuellement, un petit nombre de résolveurs récursifs qui valident les extensions de sécurité du système de noms de domaine (DNSSEC) ont la mauvaise configuration, ce qui peut affecter certains utilisateurs qui dépendent de ces résolveurs.
Ce document décrit quels utilisateurs peuvent avoir des complexités et des types de ces complexités à différentes étapes.
Bref résumé:
Qui la mise à jour n'affectera pas:
- Sur les utilisateurs qui comptent sur un résolveur avec la dernière KSK
- Sur les utilisateurs qui dépendent d'un résolveur sur lequel la validation DNSSEC n'est pas activée
Qui sera affecté par la mise à jour et comment:
Si un nouveau KSK n'est pas spécifié dans la configuration d'ancrage de confiance du résolveur, dans les 48 heures après la fin de la mise à jour de clé, les utilisateurs commenceront à recevoir des messages sur l'impossibilité de résoudre le nom (généralement sous la forme d'erreurs telles que «défaillance du serveur» ou SERVFAIL).
REMARQUE: il n'y a aucun moyen de prédire quand les opérateurs de résolution qui seront affectés par la mise à jour remarqueront que leur validation s'est arrêtée.
Les résultats de l'analyse nous permettent de conclure que plus de 99% des utilisateurs dont les résolveurs effectuent la validation ne seront pas affectés par la mise à jour KSK.
Les utilisateurs qui utilisent au moins un résolveur prêt pour la mise à niveau ne remarqueront aucun changement dans l'utilisation du DNS et d'Internet, en principe, après la mise à niveau (il en va de même pour les utilisateurs dont les résolveurs n'incluent pas la validation DNSSEC. Actuellement, on suppose qu'environ deux tiers des utilisateurs utilisent des résolveurs qui n'incluent pas la validation DNSSEC).
Et enfin, bien que la mise à jour clé soit maintenant prévue pour le 11 octobre 2018, cette date est toujours sujette à ratification par le Conseil d'administration de l'ICANN.
Des informations sur tout ce qui concerne la mise à jour de la clé
est disponible ici .