Вы находитесь на странице: 1из 14

Scurit du DNS et DNSSEC

Stphane Bortzmeyer
AFNIC
Immeuble International 78181 Saint-Quentin-en-Yeline! - Fran"e
Rsum
2008 a t l'anne de la scurit DNS, notamment avec l'annonce de la faille dite Kaminsky en juillet, faille ui rend
!eaucou" "lus facile et ra"ide l'em"oisonnement d'un serveur de noms# $omme la uasi%totalit des interactions sur &nternet
d"endent du DNS, cette faille a suscit !eaucou" d'inuitude# 20'0 sera donc une anne o( on "arlera souvent de la
solution de scurit DNSS)$, avec notamment la si*nature de la racine et de #+,#
)n uoi consiste DNSS)$ - )n une si*nature cry"to*ra".iue des donnes distri!ues "ar le DNS# $es donnes "ourront
donc /tre valides "ar le rsolveur DNS, uel ue soit le c.emin u'elles ont suivi, si le rsolveur conna0t la cl "u!liue de
si*nature# DNSS)$ est mis en 1uvre dans "ratiuement tous les serveurs en lo*iciel li!re, u'ils soient serveurs faisant
autorit ou !ien rsolveurs#
DNSS)$ "eut "rot*er contre une lar*e classe de "ro!l2mes, non seulement les attaues "ar em"oisonnement mais aussi les
serveurs menteurs comme les rsolveurs DNS confi*urs "ar certains +3& "our rediri*er les erreurs de fra""e vers un site
4e! de "u!licit# )n revanc.e, c'est une tec.nolo*ie dlicate, ui ncessite !eaucou" d'attention#
Mots clefs
#NS$ #NSS%C$ !"urit$ "rypto&raphie
1 Introduction
'e #NS (#omain Name Sy!tem) e!t * la ba!e +e ,ua!iment toute! le! appli"ation! +e l-Internet. /0me !i "elle!-"i$ "omme
Bit1orrent$ utili!ent +e! a+re!!e! I2$ il y a pre!,ue tou3our! un moment$ au moin! au +but +e la 4 !e!!ion 5 o6 +e! re,u0te!
#NS !ont 7aite!. Ce !y!t8me +-annuaire e!t un tel !u""8! ,u-il e!t +!ormai! utili! pour bien +-autre! t9"he! ,ue !a 7on"tion
ori&inelle +e tra+u"tion +e nom! en a+re!!e! I2.
/ai! le #NS e!t ulnrable. %t$ "ompte-tenu +e !on importan"e$ "ette ulnrabilit 7ait pe!er une mena"e !ur tout l-Internet. 'e
#NS e!t ulnrable au: atta,ue! par +ni +e !eri"e (,ui ne !ont pa! traite! i"i) mai! !urtout au: atta,ue! par "orruption +e!
+onne!$ pour in!rer +e! rpon!e! trompeu!e!. Il e!t en e77et relatiement 7a"ile +e &li!!er une rpon!e men!on&8re +an! le
pro"e!!u! +e r!olution #NS. Cette ulnrabilit$ bien "onnue +epui! lon&temp!$ a pri! une a"tualit parti"uli8re en 3uillet ;<<8
ae" la publi"ation +e! in7ormation! !ur la 4 7aille =amin!>y 5$ ,ui tait une mtho+e nouelle$ permettant +-e:ploiter
beau"oup plu! 7a"ilement et rapi+ement "ette ulnrabilit.
?r$ il e:i!te +epui! ;<<@ une mtho+e normali!e pour !"uri!er le #NS "ontre "e! tromperie! A #NSS%C (pour 4 #NS
Se"urity %:ten!ion! 5). %lle "on!i!te en une signature cryptographique +e! +onne! +i!tribue! par le #NS. %lle a "onnu une
bru!,ue a""lration m+iati,ue ae" l-annon"e en o"tobre ;<<B +u "alen+rier +e !i&nature +e la ra"ine +u #NS$ prue pour
;<1<.
Cet arti"le e:pli,ue le! ulnrabilit! +u #NS$ le! prin"ipe! +e ba!e +e #NSS%C$ !on utili!ation en prati,ue$ l-tat a"tuel +e !on
+ploiement. Il e!!aie &alement +-in+i,uer pr"i!ment "e ,ue #NSS%C 7ait et ne 7ait pa!$ ,uel! trou! il bou"he et ,uel! trou!
il lai!!e ouert. Comme tou3our! en !"urit$ il n-y a pa! +e !olution mira"le$ #NSS%C e!t un outil parmi +-autre!$ * !aoir
utili!er intelli&emment.
2 u!est"ce qui ne #a pas a#ec le DNS $
2%1 Rappel
Ce ai! me permettre +e "ommen"er par un petit rappel #NS$ e!!entiellement pour 7i:er le o"abulaire. 'e #NS e!t un
m"ani!me +e r!olution +"entrali! pour le! noms de domaines
1
. 'e! nom! +e +omaine! !ont attribu! +e mani8re
1
Il y a +-autre! m"ani!me! pour le! m0me! nom!$ "omme '#A2 ou /etc/hosts.
1D1E CF%S ;<<B
arbore!"ente$ en "ommenGant +e la racine
;
. Sou! "elle-"i$ !e trouent +e! +omaine! +e t0te ou 1'# (5o"%6evel Domain)$ pui!
+e! +omaine! +e !e"on+ nieau et ain!i +e !uite. Hn nom +e +omaine !-"rit en "ommenGant par le +omaine le plu! pro7on+$
pui! !on parent (!par par un point)$ pui! le parent +u parent et ain!i +e !uite 3u!,u-* la ra"ine. Ain!i$
munzer.bortzmeyer.org e!t un nom !itu +an! le 1'# .?FI$ le +omaine +e !e"on+ nieau tant bortzmeyer. Ce "ara"t8re
arbore!"ent (ou hirar"hi,ue) e!t e!!entiel +an! le #NS et e!t lar&ement utili! par #NSS%C.
J "e! nom! !ont a!!o"i! +e! +onne!. #an! le #NS$ on parle +-enregistrements. 'e! enre&i!trement! ont +e! 7ormat!
ariable!$ ,ui +pen+ent +e leur type$ not par une "ourte "haKne +e "ara"t8re!. 'e! type! le! plu! "onnu! !ont A (a+re!!e I2E)$
AAAA (a+re!!e I2L)$ /M (relai! +e "ourrier) et il y a +e! type! utili!! par le #NS lui-m0me "omme NS (!ereur! +e nom!
+-un +omaine).
2our la r!olution +e nom!$ il e:i!te +eu: !orte! +e !ereur!. /alheureu!ement$ pour +e! rai!on! hi!tori,ue!$ et au!!i par"e ,ue
le lo&i"iel le plu! utili!$ BIN#
N
$ peut remplir le! +eu: 7on"tion!$ "e! +eu: !orte! !ont !ouent "on7on+ue!. Cela a +e!
"on!,uen"e! oprationnelle! n7a!te! mai! "-e!t !urtout &0nant pour la p+a&o&ie. Ce parlerai +on" !y!tmati,uement +e
ser#eurs faisant autorit$ pour "eu: ,ui ont reGu le! +onne! * !erir$ et +e ser#eurs rcursifs$ pour le! rsol#eurs$ ,ui 7ont
&alement pre!,ue tou3our! 7on"tion +e "a"he.
Hn !ereur 7ai!ant autorit (par e:emple$ BIN# ou NS#
E
) e!t aliment * partir +-un 7i"hier (+it 4 7i"hier +e zone 5) ou +-une
ba!e +e +onne!. Ce 7i"hier re&roupe tou! le! nom! +-une zone$ une zone tant un en!emble "onne:e +e +omaine!. 'e !ereur
a en!uite !erir le! +onne! * ,ui le +eman+e. 'e! !ereur! +e l-AFNIC$ ,ui !erent .FF$ !ont ain!i +e! !ereur! 7ai!ant
autorit. /0me "ho!e pour "eu: +e la ra"ine$ le! 7ameu: 4 treize !ereur! ra"ine 5.
'e! !ereur! r"ur!i7!$ ou r!oleur!$ !ont$ eu: "har&! +e !erir une population plu! re!treinte$ typi,uement une unier!it$ un
r!eau lo"al$ ou bien le! "lient! +-un m0me FAI. Ce !ont eu: ,ue ou! trouez +an! /etc/resolv.conf !ur une ma"hine Hni:.
Comme le! !ereur! 7ai!ant autorit$ il! parlent le proto"ole #NS$ et "outent en H#2 et 1C2 !ur le port @N. /ai!$
"ontrairement * eu:$ il! ne "onnai!!ent pa! +e +onne! au +marra&e
@
. Il! appren+ront "e! +onne! petit * petit en interro&eant
le! !ereur! 7ai!ant autorit. Il! !erent +on" +e relai! pour le! ma"hine! +e! utili!ateur! 7inau:$ par7oi! appel! (en an&lai!)
stu! resolvers.
'e !ereur r"ur!i7 ,ui eut r!ou+re munzer.bortzmeyer.org 7on"tionne en interro&eant +-abor+ la ra"ine$ ,ui lui in+i,ue le!
!ereur! +e .?FI$ pui! A7ilia! (&rant +u .?FI)$ +ont le! !ereur! lui in+i,uent * leur tour le! !ereur! +e nom! +e
bortzmeyer.org$ pui! en7in "e! +ernier!$ ,ui "onnai!!ent la rpon!e et la renoient. Bien !Or$ toute! "e! in7ormation! !ont
&ar+e! +an! un "a"he$ "e ,ui permet +e ne pa! "on!ulter la ra"ine et A7ilia! * "ha,ue 7oi!.
'-outil +e +bo&ua&e le plu! rpan+u$ ,ui e!t au #NS "e ,ue pin& e!t * I2$ !e nomme +i&. Il permet +-interro&er un !ereur
(7ai!ant autorit ou bien r"ur!i7) pour un nom et un type +onn. 2ar e:emple$ on peut +eman+er l-a+re!!e I2E +u !ereur Peb
+e l-Hnier!it +-Qiro!hima$ au Capon A
% dig A www.hiroshima-u.ac.jp
...
;; ->>!A"!#$$- opcode% &'!#() status% *+!##+#) id% ,-./0
;; flags% 1r rd ra; &'!#(% 2) A*34!#% 2) A'5+#65(% .) A""656+*A7% 2
...
;; A*34!# 3!856+*%
www.hiroshima-u.ac.jp. 9:0 6* A 2,,.;2.;.99
'e status N?%FF?F !i&ni7ie ,ue tout !-e!t bien pa!! (NM#?/AIN in+i,uerait ,ue le +omaine n-e:i!te pa!). 'e! fla*s
in+i,uent ,ue le !ereur interro& tait r"ur!i7 (ra pour ,ecursion 3vaila!le) et la rpon!e e!t 2,,.;2.;.99.
2%2 &ulnra'ilits
'e! ulnrabilit! +u #NS !ont "onnue! +epui! lon&temp!. Contrairement * "e ,u-ont ra"ont "ertain! "ommentateur! lor! +e
l-annon"e +e la 7aille =amin!>y en ;<<8$ elle! !ont bien +o"umente!$ par e:emple +an! le FFC N8NN$ en ;<<@. 'e 7on+ +u
probl8me e!t ,ue le #NS$ pour +iminuer la laten"e$ et la "har&e +u !ereur$ utili!e e!!entiellement H#2. Ce proto"ole ne
n"e!!ite pa! +-tabli!!ement +e "onne:ion aant +-"han&er le! +onne!. Si l-a+re!!e I2 !our"e e!t men!on&8re$ "e ,ui e!t
po!!ible ae" la plupart +e! FAI +e la plan8te$ il n-y a pa! +e moyen +e le +te"ter
L
. Cela permet plu!ieur! atta,ue! !ur le #NS$
notamment l-atta,ue par empoi!onnement o6 le m"hant a e!!ayer +e rpon+re * la pla"e +u !ereur l&itime. 'e prin"ipe e!t
;
Que le! in7ormati"ien!$ "ontrairement au: botani!te!$ !ituent en haut +e l-arbre...
N
http%//www.isc.org/software/bind
E
http%//www.nlnetlabs.nl/nsd/
@
2our +e! rai!on! hi!tori,ue!$ on ren"ontre !ouent +e! !ereur! ,ui 7ont * la 7oi! autorit et r"ur!ion. /ai! "-e!t une mauai!e prati,ue.
L
1C2 n-a pa! le m0me probl8me pui!,ue l-atta,uant ,ui utili!e une a+re!!e men!on&8re ne re"erait pa! le! rpon!e! et ne pourrait +on" pa! "omplter la
"onne:ion.
;D1E CF%S ;<<B
le !uiant A au moment o6 un r!oleur po!e une ,ue!tion
7
$ l-atta,uant rpon+ ae" !on propre pa,uet H#2$ "ontenant le!
+onne! ,u-il +!ire. 2our ,ue la rpon!e !oit a""epte par le r!oleur$ il 7aut repro+uire "ertaine! "ara"tri!ti,ue! +e la
rpon!e atten+ue$ notamment l-i+enti7i"ateur +e la re,u0te
8
$ l-a+re!!e I2 !our"e et le port !our"e. Cette atta,ue$ et !e!
probabilit! +e ru!!ite$ e!t +"rite en +tail +an! le FFC @E@;.
'a 7aille =amin!>y$ annon"e en 3uillet ;<<8$ au&mente brutalement le! "han"e! +e !u""8! +e "ette atta,ue en utili!ant non plu!
+e! nom! rel! (,ui 7ont ,ue$ !i l-atta,ue rate$ la bonne in7ormation !e retroue +an! le "a"he$ blo,uant l-a!!aillant 3u!,u-*
l-e:piration +u 11') mai! +e! nom! ine:i!tant!. =amin!>y a tran!7orm une atta,ue bien "onnue mai! a!!ez thori,ue et
lointaine$ en une ulnrabilit imm+iate. Sou+ainement$ en n-utili!ant ,ue +e! lo&i"iel! ,u-on troue 7a"ilement !ur le r!eau$
n-importe ,ui pouait empoi!onner +e! r!oleur! en ,uel,ue! minute!$ oire ,uel,ue! !e"on+e! ae" +e! per7e"tionnement!
ultrieur!.
'a ra"tion imm+iate$ +o"umente apr8! "oup +an! le FFC @E@;$ a t +e ren+re alatoire la +erni8re ariable ,ui ne l-tait
pa!$ le port !our"e. Ce 7ut la S2F (Source 7ort ,andomi8ation)$ +ploye ma!!iement * l-t ;<<8
B
. 'a S2F tait un peu la
+erni8re "artou"he. 'e! autre! i+e! pour a""roKtre l-entropie +e la re,u0te ne permettent plu! +e &a&ner &ran+-"ho!e. Si la 7aille
=amin!>y !e per7e"tionne en"ore un peu$ la !eule li&ne +e +7en!e re!tera #NSS%C.
( Comment marche DNSSEC
#NSS%C repo!e !ur ,uel,ue! prin"ipe! !imple!. Notamment$ on ne mo+i7ie pa! le proto"ole #NS. #NSS%C e!t une e)tension
+u #NS$ pa! un noueau proto"ole. Ain!i$ #NSS%C peut 7on"tionner au traer! +-un "a"he non mo+i7i. Hn "lient non-
#NSS%C peut intera&ir ae" un !ereur #NSS%C (et r"ipro,uement).
'e! autre! prin"ipe! !ont A
l-utili!ation +e la "rypto&raphie a!ymtri,ue pour !i&ner le! +onne! #NS$
le 7ait ,ue #NSS%C prot8&e le! donnes et non pa! le canal$
l-authenti7i"ation +e l-ori&ine$ pa! 7or"ment +e la ra"it.
'e !e"on+ point !i&ni7ie ,ue #NSS%C prot8&e +e bout en bout. 'e! te"hni,ue! +e !"urit ,ui prot8&ent le "anal +e
"ommuni"ation ("omme 1'S pour S/12 ou$ +an! le "a! +u #NS$ "omme #NS"ure
1<
) !ont en &nral plu! !imple! * +ployer
mai! ne prot8&ent pa! "ontre un interm+iaire non 7iable. Ain!i$ ae" S/12 !ur 1'S$ !i le "ourrier e!t relay par un !ereur +e
me!!a&erie ,ui tri"he$ par e:emple en mo+i7iant le me!!a&e$ 1'S n-emp0"hera rien. Au "ontraire$ 2I2 e!t une te"hni,ue +e
!"uri!ation +e bout en bout A m0me !i un !ereur interm+iaire tri"he$ 2I2 permettra +e +te"ter la mo+i7i"ation +u me!!a&e.
Contrairement * +e! te"hni,ue! "omme I2!e"$ #NSS%C permet +on" +-authenti7ier le me!!a&e$ m0me !-il e!t pa!! par +e!
relai! +outeu:.
%n7in$ le +ernier point$ le 7ait ,ue #NSS%C &aranti!!e l-authenti"it +e l-ori&ine$ mai! pa! 7or"ment la 4 ra"it 5 +u me!!a&e$
e!t une limite ,ui e:i!tait +3* +an! le #NS A "elui-"i ne permet pa! +e +ire ,u-une in7ormation e!t 4 raie 5. Si l-a+mini!trateur
!y!t8me 7ait une 7aute +e 7rappe et tape 2-.0...2 "omme a+re!!e I2 +u !ereur Peb$ au lieu +e 2-..0...2$ le #NS ne +te"te
pa! l-erreur et !ert la +onne 4 7au!!e 5. #e m0me$ ae" #NSS%C$ !i une ba!e +e +onne! +-un bureau +-enre&i!trement n-e!t pa!
prot&e "ontre l-in3e"tion SQ'$ l-atta,uant pourra mo+i7ier "ette ba!e et #NSS%C n-y pourra rien$ il interient bien en aal.
(%1 *etit rappel de cryptographie
Cet arti"le !uppo!e "onnue! le! ba!e! +e la "rypto&raphie a!ymtri,ue ("elle o6 la "l "omporte +eu: partie!$ une prie et une
publi,ue)$ ain!i ,ue la notion +e "on+en!at (.as.). Ce rappelle ,ue$ pour !i&ner$ le! +onne! !ont +-abor+ r+uite! * un
"on+en!at (+an! le "a! +e #NSS%C$ le! al&orithme! utili!! !ont en &nral SQA-1 et la 7amille SQA-;)$ pui! "hi77re! ae" la
"l prie (+an! le "a! +e #NSS%C$ l-al&orithme le plu! 7r,uent e!t FSA).
(%2 +a signature
Comme le "ahier +e! "har&e! +e #NSS%C proyait +e ne pa! mo+i7ier le proto"ole #NS$ le! !eri"e! "rypto&raphi,ue! !ont
7ourni! par +e! enre&i!trement! #NS normau:. 'e! !i&nature! !ont ain!i tran!port! +an! +e! enre&i!trement! +e type FFSII.
Hn enre&i!trement FFSII a77irme l-authenti"it +-un en!emble +-enre&i!trement! +-un type +onn. 2ar e:emple$ !i 3e +eman+e
le /M +e iis.se A
% dig <dnssec => iis.se
C-obtien! l-enre&i!trement /M +eman+ ain!i ,ue la !i&nature A
iis.se. 20 6* => 9 m?2.iis.se.
7
#an! "ertain! "a!$ l-atta,uant peut "hoi!ir "e moment$ par e:emple en enoyant un "ourrier ,ui a n"e!!iter +e! te!t! 7ait! ae" le #NS.
8
Sur 1L bit! !eulement$ +on" bien trop petit.
B
?n note ,ue$ * l-automne ;<<B$ entre 1@ et ;< R +e! r!oleur! ,ui interro&ent le! !ereur! +e .FF n-utili!ent en"ore ,u-un !eul port...
1<
http%//www.bortzmeyer.org/dnscurve.html
ND1E CF%S ;<<B
iis.se. 20 6* ##36@ => 9 . 20 .00-22.029.00.
.00-222029.00. 9;/;. iis.se. (wwd4:AgAA...r!B
Cet enre&i!trement FFSII "ompren+ plu!ieur! "hamp! A
'e! "hamp! or+inaire! +-un enre&i!trement #NS$ nom +e +omaine$ 11'$ "la!!e$ type$
le type "ouert par la !i&nature$ i"i$ /M$
le! al&orithme! utili!!$ i"i @$ pour
11
FSADSQA-1 (un pour la !i&nature et un pour la "on+en!ation)$
le nombre +e label! +an! le nom$ i"i ; (iis et se)$
le 11' ori&inel$
la +ate +-e:piration +e la !i&nature$ i"i le ;< noembre ;<<B$
la +ate * partie +e la,uelle la !i&nature e!t ali+e$ i"i le 1< noembre ;<<B$
l-i+entit +e la "l (un "on+en!at +e la "l)$ i"i @E8E;$
le nom !i&n$
la !i&nature elle-m0me$ en Ba!eLE.
C-e!t "e +ernier "hamp ,ui a permettre la ali+ation par le r!oleur.
(%( ,estion des cls%
2our ali+er une !i&nature$ il 7aut "onnaKtre la "l publi,ue utili!e. %lle e!t elle-m0me +i!tribue +an! le #NS$ +an! un
enre&i!trement +e type #NS=%Y (Smulti permet une pr!entation plu! a+apte$ ae" l-i+entit +e la "l) A
% dig <multi "*3C!( iis.se
...
iis.se. ,9-; 6*"*3C!( .9: , 9 D
E&!AAAAEtF=:*>Gi'etH5.dntmm=n&j-=l6"+w??mtm
...
I ; Jey id B 9;/;.
Cet enre&i!trement "ontient A
le! param8tre! #NS "la!!i,ue!$ nom$ 11'$ "la!!e$ type$
le! option! +e la "l$ i"i ;@L$ e:pli,u plu! loin$
le proto"ole$ tou3our! N (il a e:i!t +-autre! er!ion! +e #NSS%C$ 3amai! +ploye!)$
le! al&orithme!$ i"i @ pour FSADSQA-1$
la "l elle-m0me$ en Ba!eLE.
+i& a77i"he en outre$ &r9"e * l-option Smulti$ l-i+entit +e la "l$ i"i @E8E;.
Hne "l$ +an! #NSS%C$ n-e!t pa! un "erti7i"at. %lle n-e!t pa! !i&ne par une autorit (oir la !e"tion !uiante !ur le m"ani!me
+e +i!tribution et +e ali+ation +e! "l!) et elle n-in"lut pa! +e mta-+onne! "omme la +ate +-e:piration (+an! #NSS%C$ le!
!i&nature! e:pirent$ mai! pa! le! "l!).
'e "hamp ?ption! "omporte !eize bit!. 'e! +eu: plu! important! !ont le !epti8me (,ui in+i,ue ,ue la "l e!t une "l +e zone
utili!able par #NSS%C) et le ,uinzi8me. I"i$ !eul le !epti8me e!t * 1$ le! option! alent +on" ;@L. /ai!$ en 7ait$ la zone "ontient
+eu: "l!. Toi"i la !e"on+e A
iis.se. ,;;- 6*"*3C!( .9A , 9 D
Aw!AAc19u<1e9Kibnyv3n@'.0panweAJ.&?fl@KuK&hz
...
I ; Jey id B 2/-,A
Il y a +eu: +i77ren"e! A l-enre&i!trement e!t plu! lon& ("ar "ette "l 7ait ;<E8 bit! au lieu +e 1<;E pour la premi8re) et le "hamp
?ption! e!t * ;@7. 'e ,uinzi8me bit e!t * 1 et il !e nomme S%2 pour Secure )ntry 7oint. Il in+i,ue ,ue "ette "l peut 0tre
utili!e +an! une "on7i&uration !tati,ue$ par e:emple +an! le 7i"hier +e "on7i&uration +-un r!oleur. 'a premi8re "l$ "elle !an!
le S%2$ ne +oit pa! 0tre utili!e +an! un tel but (en &nral$ par"e ,ue !a !tabilit n-e!t pa! &arantie).
2our,uoi +eu: "l! U %n 7ait$ "ela n-e!t ab!olument pa! in+i!pen!able +an! #NSS%C. ?n peut tout 7aire ae" une !eule "l. /ai!
"ela po!e +e! probl8me! prati,ue!. 'e! "rypto&raphe! re"omman+ent +e "han&er a!!ez 7r,uemment (typi,uement tou! le! troi!
ou ,uatre moi!) la "l ,ui !ert * !i&ner la zone. ?r$ "omme on le erra plu! tar+$ la zone parente +oit 0tre prenue +e "e
11
Toir http%//www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.?html
ED1E CF%S ;<<B
"han&ement$ "e ,ui n-e!t pa! prati,ue. ?n a +on" !ouent +eu: "l!$ la VS= (9one Si*nin* Key) et la =S= (Key Si*nin* Key).
'a premi8re !ert * la !i&nature +e tou! le! enre&i!trement!$ n-a pa! le bit S%2 et "han&e relatiement !ouent. 'a !e"on+e ne !ert
,u-* !i&ner la VS=$ a le bit S%2 (et peut +on" 0tre +i!tribue par +e! moyen! tel! ,u-une pa&e Peb$ pour ,ue +e! &en! la
r"up8rent et la mettent +an! leur 7i"hier +e "on7i&uration) et "han&e rarement (+i!on! tou! le! +eu: ou troi! an!).
(%- Dlgation et #alidation
Hne "ara"tri!ti,ue e!!entielle +u #NS e!t !a !tru"ture arbore!"ente. #epui! la ra"ine$ +e! +l&ation! !u""e!!ie! m8nent au:
+omaine! +e t0te (1'#) pui! au: +omaine! +e !e"on+ nieau$ et". #NSS%C !-appuie !ur "ette arbore!"en"e pour iter le! IIC
tra+itionnelle! +e M.@<B. Ae" #NSS%C$ la ali+ation +e! !i&nature! !uit "elle +e! +l&ation!.
3.4.1 DS
'e m"ani!me 4 normal 5 +e +l&ation !"uri!e ae" #NSS%C e!t l-enre&i!trement +e type #S (Dele*ation Si*ner). Sto">
"hez la parente +e la zone !i&ne$ il "ontient un "on+en!at "rypto&raphi,ue +e la "l. %n trouant un #S (!i&n) "hez le parent$
le r!oleur !ait ,ue la zone 7ille e!t !i&ne. %n trouant la "l publi,ue +an! un enre&i!trement #NS=%Y "hez la 7ille$ il peut le
"on+en!er et ri7ier ,u-il retroue bien le #S. Cher"hon! le #S +e iis.se A
% dig "3 iis.se
iis.se. ,:00 6* "3 2/-,A 9 . E98;..;./"2,AHEH29!20;...
iis.se. ,:00 6* "3 2/-,A 9 2 20""2!H"8A/;2AEH"H...
Il y a +eu: #S (pour la m0me "l$ la 18BN7)$ "on+en!! ae" +e! al&orithme! +i77rent! (SQA-1 et SQA-;).

3.4.2 DLV
'e probl8me +e! #S e!t ,u-il 7aut ,ue la zone parente !oit !i&ne et ,u-on ait un moyen +-y a3outer +e! #S. J l-heure a"tuelle$ la
ra"ine n-e!t pa! !i&ne$ et au"un 1'# ne peut +on" y mettre +e! #S. Quan+ elle le !era$ .C?/ ne le !era pa! en"ore et le!
+omaine! en .C?/ ne pourront +on" pa! 0tre !"uri!! ia un enre&i!trement #S. /0me ,uan+ une zone parente e!t !i&ne$
"ela ne eut pa! +ire ,u-elle a""epte +3* le! #S (par e:emple$ .?FI ne le! a""epte pa! en"ore). %n7in$ pour le! zone! ,ui
impo!ent l-utili!ation +-un interm+iaire$ le bureau +-enre&i!trement$ il 7aut aoir un bureau +-enre&i!trement ,ui permettre la
+"laration +e #S. Bre7$ l-enre&i!trement #S a pour 7or"e +-utili!er la hirar"hie e:i!tante +u #NS et pour 7aible!!e +e +pen+re
+e "ette hirar"hie.
Hne !olution po!!ible e!t +on" +e "ontourner la hira"hie en 7ai!ant appel * un !ereur #'T. #'T (DNSS)$ 6ook%aside
:alidation; permet +-aoir une +l&ation +e! !i&nature! ,ui ne pa!!e pa! par l-arbore!"en"e normale. 2ar e:emple$ !i 3e !i&ne
sources.org et ,ue mon bureau +-enre&i!trement ne peut pa! ou ne eut pa! tran!mettre le #S * A7ilia!$ 3e peu: le mettre +an!
dlv.isc.org (l-ISC &8re en e77et le plu! &ro! re&i!tre #'T a"tuel). Hn r!oleur "on7i&ur pour te!ter +an! dlv.isc.org
pourra alor! trouer mon #S.
%n 7ait$ on n-utili!e pa! +-enre&i!trement #S mai! un enre&i!trement #'T$ ,ui a e:a"tement le m0me 7ormat. Toi"i "elui +e
sources.org A
% dig "7K sources.org.dlv.isc.org
sources.org.dlv.isc.org. ,:00 6* "7K 2;,;A , 2 ,2HH:-/:A0A"A8,:...
sources.org.dlv.isc.org. ,:00 6* "7K 2;,;A , . 0"9"9E.0-.:;E-020A...
(%. Signer le #ide
3.5.1 Le problme
#NSS%C repo!e !ur la !i&nature +e! enre&i!trement! tran!mi! par le !ereur. /ai! !-il n-y a pa! +-enre&i!trement! * !i&ner$ par
e:emple par"e ,ue le nom n-e:i!te pa! U Si&ner la rpon!e n"e!!iterait un "han&ement +u proto"ole$ ,ui 7erait ,ue$ par
e:emple$ le! "a"he! interm+iaire! ne pourraient plu! 0tre utili!! !an! mi!e * 3our. #NSS%C a +on" "hoi!i une autre appro"he$
repo!ant !ur +e! enre&i!trement! noueau:$ ,ui in+i,uent la non-e:i!ten"e. Ce! enre&i!trement! peuent alor! 0tre !i&n! par
le! m"ani!me! normau: +e #NSS%C.
3.5.2 NSEC
'e premier +e "e! enre&i!trement! noueau: !e nomme NS%C pour Ne<t Secure. Son prin"ipe e!t +-in+i,uer l-enre&i!trement
!uiant. Ain!i$ !i ns..nic.e?ample e:i!te$ ain!i ,ue www.nic.e?ample$ le !i&neur +e la zone &nrera un enre&i!trement
NS%C ,ui in+i,ue ,u-il n-y a rien entre "e! +eu: nom! (l-or+re utili! e!t l-or+re le:i"o&raphi,ue) A
ns..nic.e?ample. A.00 6* A 2-/.92.200..2;
A.00 *3!8 www.nic.e?ample. A ##36@ *3!8
@D1E CF%S ;<<B
2lu! pr"i!ement$ l-enre&i!trement NS%C !e lit 4 Il n-e:i!te rien entre ns..nic.e?ample et www.nic.e?ample$ et
ns..nic.e?ample n-a ,ue +e! enre&i!trement! +e type A$ FFSII et NS%C 5.
C-e!t "et enre&i!trement ,ui !era renoy au "lient #NS ,ui +eman+erait$ par e:emple$ +e! in7ormation! !ur ftp.nic.e?ample$
nom ine:i!tant et !itu le:i"o&raphi,uement entre "e! +eu:-l*. Ain!i$ un ali+ateur #NSS%C +era$ +-abor+ ri7ier la
!i&nature +u NS%C$ pui! "al"uler ,ue le nom ,u-il aait +eman+ e!t bien +an! la pla&e ,ue "oure le NS%C.
'e! NS%C !ont !imple! et r!olent bien le probl8me. /ai! il! pr!entent un ri!,ue +-numration. %n +eman+ant un nom au
ha!ar+$ un atta,uant obtient le nom !uiant le !ien$ pui!$ en +eman+ant "e nom au,uel il ra3oute un "ara"t8re$ il r"up8re le nom
!uiant et ain!i +e !uite. Il peut +on" numrer la zone$ obtenir tout !on "ontenu. 2our plu!ieur! a+mini!trateur! +e zone$ par
e:emple pour la plupart +e "eu: +e! 1'# europen!$ "-e!t une in+i!"rtion ina""eptable.
3.5.3 NSEC3
NS%CN$ normali! +an! le FFC @1@@$ r!out le probl8me +e l-numration +e mani8re l&ante. Au lieu +-in+i,uer le! nom! +e
+omaine ,ui en"a+rent le nom ine:i!tant$ NS%CN in+i,ue le! "on+en!at! ,ui en"a+rent le "on+en!at +u nom ine:i!tant. Comme
on ne peut pa! remonter +-un "on+en!at au nom ori&inel$ il ne +i!tribue ain!i pa! plu! +-in7ormation ,ue n"e!!aire. %n
"ontrepartie$ il obli&e le !ereur 7ai!ant autorit * e77e"tuer un petit "al"ul "rypto&raphi,ue * "ha,ue re,u0te pour un nom
ine:i!tant. %t il e!t "ertainement "omple:e$ "ar il y a +e nombreu: "a! * pren+re en "ompte.
Nanmoin!$ u le probl8me +e l-numration$ NS%CN e!t utili! par toute! le! zone! ,ui ne eulent pa! ,ue leur "ontenu !oit
"onnu$ "omme .?FI ou .C?/.BF.
Toi"i un e:emple +e zone !i&ne ae" NS%CN A
&@6A#-+#"#588@,AK#.L::A5A5K62'.e?ample. A.00 6* *3!8, 2 0 ;
"!A"E!!H '.=AC"!2'AG/E..G-#6H=EE@L6A@H'C5 AAAA ##36@
&@6A#-+#"#588@,AK#.L::A5A5K62'.e?ample. A.00 ##36@ *3!8, A .
A.00 .00-2.2;0A,0.; D
.00-222;0A,0.; :;;A- e?ample.
eowGzchb7ohe/:C<zo->@moE/0(dsC;=J# ...
&@6...2' e!t le "on+en!at +e www.nic.e?ample
1;
. 'e "on+en!at !uiant e!t '.=...'C5$ "elui +e test.e?ample. Cet
enre&i!trement NS%CN$ tra+uit en 7ranGai!$ +it 4 Il n-e:i!te pa! +e nom +ont le "on+en!at !oit entre &@6...2' et
'.=...'C5 5.
Si un r!oleur interro&e le !ereur !ur le nom ftp.nic.e?ample$ le !ereur pourra$ en prime +u "o+e NM#?/AIN$ enoyer
"e NS%CN. 'e r!oleur "al"ule le "on+en!at +e ftp.nic.e?ample$ troue 3'9...L/+$ ,ui e!t e77e"tiement !itu entre le!
+eu: "i-+e!!u!. #on"$ en e77et$ ftp.nic.e?ample n-e:i!te pa!.
'-enre&i!trement NS%CN e!t lui-m0me !i&n$ pour pouoir ri7ier !on authenti"it. C-e!t le rWle +u +eu:i8me enre&i!trement$
le FFSII.
3.5.4 Le protocole
#NSS%C a n"e!!it ,uel,ue! petit! a3out! au proto"ole #NS (,ui n-emp0"hent pa! l-interoprabilit ae" le! 4 ieu: 5
lo&i"iel!). Ain!i$ #NSS%C n"e!!ite l-emploi +e %#NS< (FFC ;L71) pour pouoir pa!!er un noueau boolen$ nomm #?$ et
,ui in+i,ue ,ue le r!oleur "ompren+ #NSS%C. #-autre part$ #NSS%C a r!er +eu: boolen! ,ui taient libre! +an! le!
fla*s #NS$ bapti!! C# et A#. 'e premier ($.eckin* Disa!led)$ enoy +an! une ,ue!tion$ in+i,ue +-un "lient +eman+e au
r!oleur +e ne pa! 7aire +e ali+ation. 'e !e"on+ (3ut.entic Data)$ 7i&urant +an! une rpon!e$ in+i,ue ,ue le r!oleur a
ali+ ae" #NSS%C et trou la rpon!e "orre"te.
- Ce que fait /et ne fait pas0 DNSSEC
Arri * "e !ta+e$ 3e pr78re r!umer "e ,ue 7ournit e:a"tement #NSS%C "omme !eri"e. Il a!!ure la ri7i"ation +e l-ori&ine
+e! +onne!. Ae" #NSS%C$ !i l-a+mini!trateur +e wiJipedia.fr a +"i+ +e publier +eu: a+re!!e I2 pour
www.wiJipedia.fr$ #NSS%C ou! &arantit la po!!ibilit +e ri7ier ,ue otre r!oleur n-a pa! t tromp par un
interm+iaire. 'e! +onne! !ont bien "omme * l-ori&ine.
?n "ompren+ mieu: le! !eri"e! ,ue ren+ #NSS%C ,uan+ on oit "eu: ,u-il ne ren+ pa!. #NSS%C$ "omme toute !olution +e
!"urit$ n-e!t pa! par7ait$ il ne r8&le pa! tout (et ne 7ait pa! le "a7). #-abor+$ il y a le! !eri"e! ,ui ne 7i&urent pa! +an! !on
"ahier +e! "har&e!. #NSS%C ne 7ournit pa! +e !eri"e +e "on7i+entialit. Si on eut emp0"her un m"hant +e oir le! re,u0te!
#NS ,u-on 7ait$ il 7aut tunneler$ par e:emple +an! I2!e".
1;
?n ne peut pa! remonter +u "on+en!at au nom ,ui a t "on+en!. C-ai +on" trou "ette in7ormation par 7or"e brute$ en te!tant toute la zone.
LD1E CF%S ;<<B
%n!uite$ #NSS%C ne prot8&e pa! l-int&ralit +e la !e!!ion utili!ateur. Si$ par e:emple$ une atta,ue BI2 +tourne le tra7i"
+e!tin * o! a+re!!e! I2$ le 7ait ,ue o! "lient! obtiennent la bonne a+re!!e I2 n-emp0"hera rien.
Surtout$ #NSS%C a!!ure la ri7i"ation +e l-ori&ine$ pa! la 4 ra"it 5 +e! +onne!. Si le! +onne! rentre! par l-in&nieur
!y!t8me +an! la zone !ont 7au!!e! (par e:emple !uite * une n&li&en"e)$ #NSS%C ne "han&era rien. #e! atta,ue! "omme "elle
"ontre le bureau +-enre&i!trement +e google.ma$ en ;<<B ou "omme "elle "ontre le re&i!tre +e .2F$ la m0me anne$ atta,ue!
toute! le! +eu: lan"e! par in3e"tion SQ'
1N
ne pouaient pa! 0tre +te"te! par #NSS%C. /0me "ho!e pour la &ran+e panne ,ui
a a77e"t .S%$ en o"tobre ;<<B
1E
$ panne proo,ue par une bo&ue +an! le &nrateur +e zone$ n-a pa! t +te"te par #NSS%C.
%n7in$ "omme toute te"hni,ue +e !"urit$ #NSS%C am8ne !e! propre! ri!,ue!$ notamment "elui +e 7au: po!iti7!. Si une erreur
!urient (la plu! "ourante$ * l-heure a"tuelle$ e!t l-e:piration +-une !i&nature)$ #NSS%C peut +"larer inali+e +e! +omaine! ,ui
taient "orre"t! pr"+emment.
Bre7$ #NSS%C ne r!out pa! tou! le! probl8me!. C-e!t un outil +an! la boKte * outil! +u re!pon!able +e la !"urit +u r!eau$ pa!
une ba&uette ma&i,ue.
. 1e #eu) faire du DNSSEC
.%1 Signer ses domaines
Ce ne ai! pa! pr!enter le probl8me +an! l-or+re "hronolo&i,ue. Normalement$ il 7aut +-abor+ &nrer !e! "l! (apr8! aoir pri!
+e! pr"aution! pour leur "on!eration en !"urit)$ pui! !i&ner$ pui! !erir le! zone! !i&ne!. /ai! il e!t plu! !imple +e
"ommen"er par la 7in.
5.1.1 Servir une zone signe
Suppo!on! +on" ,ue la zone !i&ne e:i!te. Que +oit !aoir 7aire le !ereur +e nom! U #NSS%C a t "onGu pour ,ue$ !i une
zone e!t !i&ne$ toute! le! opration! +e "rypto&raphie (,ui !ont typi,uement a!!ez "oOteu!e!) pui!!ent 0tre 7aite! hor!-li&ne. Au
moment o6 la re,u0te #NS arrie$ le !ereur +e nom! n-a pa! be!oin +e 7aire +e "rypto&raphie (il e:i!te une petite e:"eption$
+taille plu! loin). Cela limite +on" la "har&e +e! !ereur! 7ai!ant autorit et +on" le! re!!our"e! matrielle! n"e!!aire!. %n
rean"he$ le! rpon!e! #NSS%C !ont typi,uement +e bien plu! &ran+e taille (on pa!!e +-eniron 1<< o"tet! * plu! +e @<<$ oire
plu! +e ;<<<) et la "har&e r!eau a +on" au&menter.
'e !ereur +oit "ompren+re #NSS%C$ pour pouoir !erir le! NS%C et le! NS%CN intelli&emment. Il 7aut +on" ri7ier ,ue !on
!ereur &8re la partie +e #NSS%C ,ui nou! intre!!e. 2ar7oi!$ il 7aut a"tier le 7on"tionnement #NSS%C (+an! BIN#$ "-e!t la
+ire"tie dnssec-enable yes;) 2ar e:emple$ pour BIN#$ NS%CN n-e!t +i!ponible ,ue +epui! la er!ion B.L.
'e !eul "a! o6 le !ereur 7ai!ant autorit +oit 7aire un peu +e "rypto&raphie e!t ae" NS%CN. 'or!,u-une re,u0te pour un nom
non-e:i!tant arrie$ il 7aut "on+en!er "e nom. 2ar e:emple$ le! al&orithme! utili!ant pour "ela SQA-; ne !ont +i!ponible! +an!
BIN# ,u-* partir +e la er!ion B.7.
5.1.2 Signer une zone
Il e:i!te * l-heure a"tuelle plu!ieur! lo&i"iel! +e !i&nature #NSS%C pour +e! 7i"hier! +e zone * la !ynta:e !tan+ar+. ?n peut
au!!i !i&ner +ynami,uement (BIN#$ par e:emple$ !ait le 7aire$ "e ,ui e!t n"e!!aire pour le! mi!e! * 3our #NS +ynami,ue!).
C-utili!erai +eu: outil! i"i$ +n!!e"-!i&nzone$ lir ae" BIN# et l+n!-!i&nzone$ lir ae" la biblioth8,ue +e +eloppement
#NS l+n!
1@
.
2our !i&ner une zone ae" l+n!$ la "omman+e e!t (en !uppo!ant ,ue la "l prie !oit +an! le 7i"hier Ce?ample.<009<0::2.I A
% ldns-signzone e?ample.zone Ce?ample.<009<0::2.
?n troue alor! un 7i"hier +e zone e?ample.zone.signed ,ui "ontient le! !i&nature!. Ce 7i"hier peut 0tre "har& par le !ereur
+e nom!.
Si on a !par VS= et =S=$ il 7aut le! in+i,uer toute! le! +eu: !ur la li&ne +e "omman+e. l+n!-!i&nzone !aura !-y retrouer.
Ae" le !i&neur +e BIN#$ il 7aut (3u!,u-* la er!ion B.L in"lu!e) a3outer le! "l! manuellement +an! le 7i"hier (i"i$ une VS= et
une =S=) A
% cat e?ample.zone M
Ce?ample.<009<.:022.Jey Ce?ample.<009<9,:-A.Jey > e?ample<Jey.zone
?n peut en!uite !i&ner A
% dnssec-signzone -o e?ample e?ample<Jey.zone
%t le! per7orman"e! U Toi"i le r!ultat !ur le 7i"hier +e zone +e .FF$ 1$@@ million! +e nom!$ 1@@ m&a-o"tet! A
1N
http%//www.bortzmeyer.org/atta1ues-registres-noms.html
2;
http%//royal.pingdom.com/.00-/20/2,/sweden%.9!.%.9/0%.9--s-internet-broJen-by-dns-mistaJe/
1@
http%//www.nlnetlabs.nl/projects/ldns/
7D1E CF%S ;<<B
dnssec-signzone -o fr fr.db A;/.A/s user ....As system ,09% cpu ;%2..;2 total
!oit ,uatre minute! !eulement (la ma"hine tait un ,ua+ri-pro"e!!eur). 'e 7i"hier * !erir e!t pa!! * L<N m&a-o"tet!.
Ae" l+n!$ on obtient * peu pr8! le m0me temp! C2H (mai! il ne !ait pa! utili!er le! multi-pro"e!!eur! +on" le temp! "oul e!t
plu! lon&).
Si on !i&ne ae" NS%CN$ le temp! +e "al"ul e!t * peu pr8! le m0me. 2ar "ontre$ NS%CN o77re une option nouelle$ l-o"t%out$ ,ui
permet +e ne pa! !i&ner tou! le! enre&i!trement! mai! !eulement "eu: ,ui 7ont autorit. #an! une zone 4 terminale 5$ une zone
or+inaire ,ui n-a pa! +e +l&ation$ "ela ne "han&e rien. /ai! pour une zone "ompo!e pre!,ue uni,uement +e +l&ation!$ +ont
la plupart ne !ont pa! !i&ne!$ "omme "-e!t le "a! +e .FF$ le &ain e!t !pe"ta"ulaire. ?n !i&ne +!ormai! en bien moin! +-une
minute$ et le 7i"hier +e zone ne &ran+it prati,uement plu!
1L
.
J noter ,ue la !i&nature "on!omme !urtout +u temp! C2H et la &nration +e "l! !urtout +e l-entropie$ "ar elle a be!oin +e
beau"oup +e +onne! rellement alatoire!. 2ar +7aut$ !ur 'inu:$ BIN# et l+n! utili!ent /dev/random$ ,ui e!t e77i"a"e mai!
peut blo,uer !i la ma"hine n-a pa! a""umul a!!ez +-entropie (par e:emple par"e ,u-elle ient +e +marrer). 2ara+o:alement$ on
a""l8re !ouent le pro"e!!u! en "har&eant la ma"hine (par e:emple ae" 7in+) "ar "ela 7ournit +e l-entropie * /dev/random.
2our le! !i&nature!$ "oOteu!e! en temp! C2H$ BIN# peut utili!er +e! a""lrateur! matriel!. Notez toute7oi! ,ue la
"on7i&uration e:a"te pour ,ue Ga mar"he e!t hautement non triiale$ la !p"i7i"ation +-inter7a"e 2=CS X11 tant "omple:e et
mal re!pe"te.
5.1.3 !rer ses cls
'a &e!tion +e! "l! e!t !ouent pr!ente$ * 3u!te titre$ "omme l-a!pe"t le plu! +i77i"ile +e la "rypto&raphie. Irer !e! "l!$ "-e!t
le! !to">er +e mani8re !Ore (!Ore * la 7oi! "ontre la "opie non autori!e$ et "ontre la perte) et le! retrouer lor!,u-on en a be!oin.
Ce! e:i&en"e! !ont !ouent anta&oni!te!. 2ar e:emple$ !i on +upli,ue la "l prie !ur plu!ieur! !ite! phy!i,ue!$ on au&mente
!e! "han"e! +e la r"uprer$ m0me en "a! +-a""i+ent "omme un in"en+ie. /ai! on au&mente au!!i le! ri!,ue! +e "opie non
autori!e$ pui!,ue le oleur peut +!ormai! "hoi!ir parmi plu!ieur! !ite! pour oprer. %t il 7aut bien !ortir la "l prie +e !on
"o77re-7ort pour !i&ner...
Il e:i!te plu!ieur! appro"he! +e la &e!tion +e "l!$ !elon ,u-on e!t 4 "ool 5 ou ultra-militari!. Noton! ,ue la plupart +e "e!
appro"he! n-ont rien +e !p"i7i,ue * #NSS%C. Ce !ont le! m0me! lor!,u-on +oit &rer +e! "l! 2I2 ou +e! "l! #=I/.
'a mtho+e la plu! "la!!i,ue et la plu! habituelle pour le! in&nieur! !y!t8me Hni: e!t +e mettre la "l +an! un rpertoire$ +ont
le propritaire et le &roupe !ont bien "hoi!i!$ et ,ui e!t en mo+e <7<< (!eul le propritaire peut 7aire ,uel,ue "ho!e$ le! autre!
ont zro +roit). Il e!t re"omman+ ,ue la ma"hine ,ui porte le! "l! !oit !oi&neu!ement !"uri!e (pa! +e "ompte +-tu+iant!$ ou
+e !"ript! en 2Q2 +e!!u!). Ce !y!t8me a l-aanta&e +-0tre !imple * mettre en Yure. Si&ner e!t 7a"ile pui!,ue la "l e!t tou3our!
a""e!!ible ia le r!eau. Sa !"urit e!t "elle +e la ma"hine et nou! !aon! tou! ,ue le! 7aille! +e !"urit !ur&i!!ent ite.
1oute7oi!$ !i l-alternatie e!t entre l-a"tuelle ab!en"e +e !"urit +u #NS et une !"urit mo+re apporte par "e !y!t8me$ il e!t
intre!!ant.
Hne mtho+e un peu plu! !Ore e!t +e mettre la "l !ur un !upport phy!i,ue ("l HSB$ par e:emple) en7erm +an! un "o77re-7ort.
2our la !i&nature$ on !ort la "l +u "o77re. Si on e!t raiment pru+ent$ on !i&ne !ur une ma"hine +"onne"te +u r!eau. Ce
!y!t8me e!t nettement moin! prati,ue mai! a l-aanta&e +e !-appuyer !ur le! matriel! et pro"+ure! +e !"urit phy!i,ue ,ui
e:i!tent +an! "ertaine! or&ani!ation!.
%n7in$ la !olution +e lu:e e!t +e !to">er le! "l! +an! un matriel ++i$ le QS/ (=ard>are Security ?odule). 'e QS/ e!t une
"arte ou une ma"hine !p"iali!e$ r!i!tante * l-a&re!!ion phy!i,ue (!ur le! mo+8le! le! plu! per7e"tionn!$ la "l prie e!t
automati,uement e77a"e en "a! +e tentatie +-ouerture a&re!!ie). 'a "l ne !ort pa! +u QS/$ ,ui a!!ure le! 7on"tion! +e
!i&nature lui-m0me. 'e QS/ peut +on" 0tre lai!! +an! la !alle ma"hine$ "onne"t au r!eau. ?n troue +e tel! !y!t8me! entre
1 <<< et 1< <<< euro!.
#an! tou! le! "a!$ il 7au+ra +7inir +e! pro"+ure! +e &e!tion +e! "l!$ par e:emple +e ,ui peut ourir le "o77re$ ,ui +oit 0tre
pr!ent$ et". /0me "ho!e pour le rempla"ement +e! "l!. /0me !i on ne parta&e pa! l-in,uitu+e +e "ertain! "rypto&raphe!
,uant * la n"e!!it +e "han&ement! 7r,uent!$ il 7aut bien oir ,ue +e! pro"+ure! ,ui ne !ont ,ue rarement e:"ute! ont peu
+e "han"e! +e l-0tre !an! probl8me!$ !-il 7aut le! 7aire en ur&en"e. Ain!i$ il aut mieu: "han&er le! "l! !an! ,ue Ga !oit
n"e!!aire$ pour ,ue "ela +eienne une opration +e routine.
2our &nrer +e! "l! ae" l+n!$ on pro"8+e ain!i pour une VS= A
% ldns-Jeygen -a #3A3A2 e?ample
Ce?ample.<009<0::2.
Ce?ample.<009<0::2..Jey "ontient la "l publi,ue (au 7ormat +e! 7i"hier! +e zone)$ Hn Ce?ample.<009<0::2..ds a t
"r et "ontient le #S. 'e 7i"hier Ce?ample.<009<0::2..private +oit 0tre !oi&neu!ement prot&$ il "ontient la "l prie.
2our une =S=$ on ra3outera l-option -J.
1L
.FF !era tr8! probablement !i&n ae" "ette option.
8D1E CF%S ;<<B
Si on utili!e BIN# pour 7abri,uer le! "l! (notez ,ue le! "omman+e! #NSS%C +e BIN# !eront tr8! !impli7ie! * partir +e la
er!ion B.7 Z i"i$ on a utili! le B.@)$ la "omman+e e!t (il n-y a pa! +e taille par +7aut$ il 7aut en !p"i7ier une) A
% dnssec-Jeygen -a #3A3A2 -b 20.; e?ample
Ce?ample.<009<9,:-A
%t$ pour aoir une =S=$ on utili!e l-ar&ument -f C3C. #an! le! +eu: "a!$ on troue &alement partie prie et partie publi,ue
+e la "l +an! +eu: 7i"hier! +i77rent!.
ConnaKtre "e! "omman+e! e!t utile !i on 7ait tout * la main ou bien !i on "rit !oi-m0me le! =aJefile ,ui ont &rer le!
opration!$ mai! on peut au!!i utili!er un lo&i"iel ,ui automati!e une &ran+e partie +e "e! t9"he!. C-e!t le "a!$ par e:emple$
+-?pen#NSS%C
17
. ?n "on7i&ure "e +ernier ae" la politi,ue ,u-on !ouhaite !uire (par e:emple$ "han&ement +e VS= tou! le!
,uatre moi!$ +e =S= tou! le! +eu: an!$ et") et il &n8re automati,uement le! "l! n"e!!aire!
18
$ il met le! "l! +an! le 7i"hier +e
zone$ il !i&ne$ tout "ela !an! interention humaine. ?pen#NSS%C e!t a"tuellement en er!ion beta mai! e!t tr8! prometteur.
.%2 &alider les signatures
5.2.1 "ctiver l# v#li$#tion
'e r!oleur ali+ateur$ lui$ a 7aire +e! "al"ul! "rypto&raphi,ue! * "ha,ue 7oi! ,u-il ali+era une !i&nature. Il 7aut +on" proir
une ma"hine ayant +e bonne! "apa"it! +e "al"ul.
/ai! le prin"ipal ri!,ue lor!,u-on a"tie la ali+ation !ur !e! r!oleur! e!t "elui +e! 7au: po!iti7!. %n e77et$ !i un probl8me
!urient (mauai!e !i&nature !ur la zone 7ai!ant autorit$ !i&nature e:pire$ enre&i!trement #S ob!ol8te$ et")$ le! +onne! !eront
ue! "omme inali+e! et re3ete!. ?n per+ +on" +e la robu!te!!e +u #NS$ au pro7it +e la !"urit. '-e:prien"e +e la
"rypto&raphie !ur Internet montre ,ue le! erreur! +e ali+ation !ont bien plu! !ouent +ue! * +e! erreur! "ommi!e! par le!
metteur! l&itime! ,u-* +e! atta,ue!. Ain!i$ en !eptembre ;<<B$ le re&i!tre +e .2F a pro"+ * un "han&ement +e !a "l et a
retir l-an"ienne "l !eulement +eu: 3our! apr8!. 'e re&i!tre #'T +e l-ISC ne !e !yn"hroni!ant ,ue toute! le! !emaine!$ tou! le!
nom! en .2F +i!parai!!aient
1B
$ pour le! utili!ateur! +e "e re&i!tre (la &ran+e ma3orit +e! r!oleur! ali+ant!). Aant #NSS%C$
le #NS tait la !tatue +-un "hat A une 7oi! 7inie$ elle re!tait !ur l-ta&8re et n-aait pa! be!oin +-entretien. Ae" #NSS%C$ le #NS
+eient un "hat iant$ il 7aut !-en o""uper$ "han&er !a liti8re$ et".
Il "onient +on" +e bien pe!er le pour et le "ontre aant +-a"tier la ali+ation #NSS%C.
Hne 7oi! ,u-on e!t +"i+$ "omment 7aire U Ae" Hnboun+
;<
$ +8! ,u-on a "on7i&ur au moin! une "l +e "on7ian"e, la ali+ation
!era 7aite. Ae" BIN#$ il 7aut l-option dnssec-validation yes;. #an! le! +eu: "a!$ !i le +omaine +oit 0tre !i&n mai! ,ue la
!i&nature +e! +onne! n-e!t pa! "orre"te$ au"une +onne ne !era renoye au "lient #NS$ uni,uement un "o+e S%FTFAI'$
Server +ailure.
Qu-e!t-"e ,u-une "l +e "on7ian"e U 'a ali+ation #NSS%C n"e!!ite un point +e +part$ une "l publi,ue ,ui !erira * ali+er
un +omaine et$ par le 3eu +e! +l&ation!$ tou! le! +omaine! en +e!!ou!. #an! le "a! le plu! !imple$ la ra"ine +u #NS e!t !i&ne
et tou! le! +omaine! +e t0te (le! 1'#) &alement. ?n n-a alor! be!oin ,ue +-une !eule "l +e "on7ian"e$ "elle +e la ra"ine.
/etton! ,ue le &ouernement tat!-unien$ &rant +e la ra"ine$ la +i!tribue ia un !ite Peb ae" un m"ani!me +e ri7i"ation.
?n "opie "ette "l +an! un 7i"hier$ metton! root-trust-anchors et on in+i,ue * Hnboun+ +e l-utili!er A
trust-anchor-file% Nroot-trusted-anchorsN
'e 7i"hier a le 7ormat +-un 7i"hier +e zone$ +on"$ par e:emple (4 . 5 tant la ra"ine) A
. 6* "*3C!( .9A , 9 Aw!AAd<C*r'&aor.Li7E/ood?-r'ji@...
Si on pr78re BIN#$ la !ynta:e +an! named.conf e!t (notez bien ,ue la "l n-e!t pa! repr!ente +e la m0me 7aGon) A
trusted-Jeys O
. .9A , 9 NAw!AAd<C*r'&aor.Li7E/ood?-r'ji@...N;
P;
/ai! "e "a! o6 la ra"ine e!t !i&ne e!t trop !imple. 'a ra"ine ne !era pa! !i&ne aant la mi-;<1< et$ +e toute 7aGon$ "ela
n-entrainera pa! automati,uement la !i&nature +e tou! le! 1'#. Il 7au+ra +on" probablement &rer plu!ieur! "l! +e "on7ian"e$
"e ,ue permet le 7ormat +e! 7i"hier! "it! "i-+e!!u!. 2ar e:emple$ ae" Hnboun+ A
mybanJ.e?ample. 6* "*3C!( .9A , 9 @fvf9:"jJfH...
e?ample.com. 6* "*3C!( .9A , 9 oiguA"d,...
dnssec.fr. 6* "*3C!( .9A , 9 ezz,"Hn-...
17
http%//www.opendnssec.org/
18
Qu-il !to">e +an! une ba!e SQ'ite.
1B
http%//www.bortzmeyer.org/dlv-pointpr.html
.0
http%//www.unbound.net/
BD1E CF%S ;<<B
Ae" une telle li!te$ un nom "omme web.e?ample.net$ ,ui n-e!t pa! "ouert$ ne !era pa! ri7i
;1
. 2ar "ontre$
web.mybanJ.e?ample$ lui$ le !era.
F"uprer le! "l! et le! mettre +an! le 7i"hier n-e!t pa! trop "ompli,u. Bien plu! +i77i"ile e!t +e !uire "e! "l! +an! le temp!.
%n e77et$ elle! ont 0tre r&uli8rement rempla"e! et "e rempla"ement +e! "l! e!t l-une +e! prin"ipale! "au!e! +e probl8me!
#NSS%C. Comme l-a+mini!trateur !y!t8me typi,ue n-a pa! le temp! +e !e tenir au "ourant +e la ie +e toute! "e! "l!$ le!
!olution! re"omman+e! !ont le FFC @<11$ #'T ou la limitation !tri"te +u nombre +e "l! ,u-on &8re manuellement.
'e FFC @<11 +o"umente une mtho+e pour !uire le! "han&ement! +e "l. Si la premi8re "l e!t bonne et ,u-une !e"on+e "l
apparaKt$ !i&ne par la premi8re$ BIN# a""epte +!ormai! la !e"on+e "l. /0me "ho!e * la troi!i8me et ain!i +e !uite. 'e FFC
@<11+i!pen!e +on" +e &rer le! "han&ement! +e "l! +e "on7ian"e * la main. Ae" BIN# (il 7aut au moin! la er!ion B.7)$ il !e
"on7i&ure ain!i A
managed-Jeys O
Ne?ample.com.N initial-Jey .9A , 9
NAw!AAee@!9unuos*,c/tEcj2/1;5&!wzf*(0@C:J?=KF ...
Ain!i$ on met la "l +e e?ample.com une !eule 7oi!. BIN# !-o""upera +u !uii.
Autre option utile lor!,u-on "on7i&ure un r!oleur$ #'T. Ae" BIN#$ "ela !e 7ait ae" A
dnssec-looJaside . trust-anchor dlv.isc.org.;
(et il 7aut au!!i mettre la "l +e dlv.isc.org +an! le blo" trusted-Jeys).
%t ae" Hnboun+ A
dlv-anchor-file% Ndlv.isc.org.JeyN
?6 le 7i"hier "ontient la "l +u re&i!tre #'T.
5.2.2 L# t#ille compte
Il re!te un !rieu: probl8me. 'or! +e la "ration +e la norme #NS$ la taille ma:imale +e! pa,uet! tait 7i:e * @1; o"tet!. Cette
limite a t !upprime par le FFC ;L71 en 1BBB. /ai! +i: an! !ont une +ure tr8! "ourte pour le "on!erati!me +e "ertain! et
,uel,ue! pare-7eu: mal &r! re7u!ent en"ore le! pa,uet! ,u-il! trouent trop &ro!. ?r$ #NSS%C$ ae" !e! !i&nature!$ a &nrer
+e! rpon!e! #NS bien plu! &ro!!e! ,ue "e * ,uoi on tait habitu. Il y a +on" +e! "han"e! ,ue "ertain! !ite! !e oient "oup! +u
#NS au 7ur et * me!ure +u +ploiement +e #NSS%C. Notamment$ la !i&nature +e la ra"ine +an! la premi8re moiti +e ;<1<$ a
permettre +e +te"ter le! a+mini!trateur! !y!t8me n&li&ent!
;;
.
'-?AFC (DNS @"erations, 3nalysis and ,esearc. $enter) a "r un e:"ellent outil pour te!ter !implement !i otre !ite e!t
+an! "e "a!. Il "on!i!te !implement en un !ereur #NS !p"i7i,ue$ ,u-on peut interro&er ae" n-importe ,uel "lient #NS
;N
. Toi"i
un e:emple ae" +i& A
% dig <short rs.dns-oarc.net t?t
...
N2-..2:/.2.2 sent !"*3 buffer size ;0-:N
N2-..2:/.2.2 "*3 reply size limit is at least ;0., bytesN
I"i$ on oit ,ue le! rpon!e! #NS +e E<;N o"tet! peuent arrier. Ae" +e! r!oleur! #NS mal "on7i&ur! ou mal "onne"t!
(i"i$ "eu: +-Ali"e ia une Ali"eBo:) A
% dig <short rs.dns-oarc.net t?t
...
N20.../.:,.9/ lacJs !"*3) defaults to 92.N
N20.../.:,.9/ "*3 reply size limit is at least ;/: bytesN
E8L o"tet! arrient * pa!!er$ "e ,ui e!t in!u77i!ant +an! +e nombreu: "a!. Si ou! obtenez moin! +e ;<E8 o"tet!$ +an&er A
#NS%C a ou! "au!er +e! probl8me!.
5.2.3 Dboguer
Hne politi,ue +e !"urit e!t un "ompromi!. 1rop +e !"urit et on ne peut plu! rien 7aire$ pa! a!!ez et le! ennui! nou! tombent
+e!!u!. 2our !e prot&er +e l-empoi!onnement +e! r!oleur! #NS$ on pen!e * +ployer #NSS%C. /ai! "elui-"i entraKne !e!
propre! probl8me!. Il e:i!te une lon&ue e:prien"e +e +ploiement +e la "rypto&raphie !ur l-Internet et l-une +e! leGon! appri!e!
;1
%n terminolo&ie #NSS%C$ il !era 4 insecure 5$ terme a!!ez mal "hoi!i.
;;
http%//labs.ripe.net/content/preparing-J-root-signed-root-zone
;N
Son 7on"tionnement e!t +taill en https%//www.dns-oarc.net/oarc/services/replysizetest
1<D1E CF%S ;<<B
e!t ,ue +e! ennui! !e pro+ui!ent initablement. Bo&ue! +an! le! lo&i"iel! et erreur! +e pro"+ure! +e la part +e! humain! 7ont
,ue la "rypto&raphie 7on"tionne !ouent "omme une !errure A elle &0ne le! m"hant! mai! elle peut au!!i blo,uer le! &entil!.
Normalement$ le #NS e!t tr8! r!i!tant au: erreur! +e "on7i&uration A il 7aut raiment le 7aire e:pr8! pour ren+re une zone
"ompl8tement inattei&nable. Ae" #NSS%C$ on per+ "ette robu!te!!e A une erreur et la zone$ ,uoi,ue attei&nable$ ne !era pa!
ali+e et le! r!oleur! re7u!eront +e tran!mettre le! +onne!. Il e!t +on" "ru"ial +-appren+re * +bo&uer #NSS%C.
CommenGon! par un "a! banal * l-heure a"tuelle. ?n a un r!oleur #NS ,ui ali+e ae" #NSS%C et un matin$ une zone #NS
n-e!t plu! a""e!!ible. 'e r!oleur$ interro& ae" +i& +it 3u!te Server failure A
% dig <dnssec 3+A e?ample.net
; $$>> "i@ -.9.0-G. $$>> <dnssec Qdnssec 3+A e?ample.net
...
;; ->>!A"!#$$- opcode% &'!#() status% 3!#KHA67) id% ,22/0
...
Si on a a""8! au: 3ournau: +e "e r!oleur et !-il e!t "on7i&ur en mo+e !u77i!amment baar+$ on pourra y trouer +e! +tail!
!ur la "au!e +u probl8me. /ai! il 7aut noter ,ue le! r!oleur! Hnboun+ et (!urtout) BIN# ont en "ommun ,ue le! me!!a&e!
ain!i 3ournali!! !ont peu "omprhen!ible!$ et n"e!!itent !ouent la le"ture +e! FFC pour 0tre +"o+!.
J l-autre e:trmit +u !pe"tre +e la "omple:it$ une !olution enti8rement "li,uo+rome!,ue e!t le ri7i"ateur +u re&i!tre
+e .S%
;E
$ . Si la zone e!t +i!ponible publi,uement$ il peut l-analy!er en +tail et pro+uire +e! +ia&no!ti"! "omprhen!ible! par
e:emple A
"*33!8 signature e?pired% ##36@De?ample.net/6*/"*3C!(///90I
!?pired signatures will be ignored by validating resolvers.
Cet outil e!t &alement +i!tribu$ !ou! une li"en"e libre$ pour "eu: ,ui eulent le 7aire tourner "hez eu: (le! autre! outil! +e
ri7i"ation +u #NS "omme Vone"he">
;@
n-ont pa! en"ore +e te!t! #NSS%C).
%t entre le! +eu: U Si on e!t pr0t * utili!er ,uel,ue! outil! Hni: mai! ,u-on n-a pa! a""8! au 3ournal +u r!oleur$ ou bien ,u-on
ne "ompren+ rien * !e! me!!a&e! U /ar> An+re[!$ re!pon!able +e la er!ion a"tuelle +e BIN#$ aime +ire ,u-on peut
4 +bo&uer #NSS%C uni,uement ae" +i& et +ate 5. %!t-"e rai U
Toyon! "e ,u-on peut obtenir ae" +i&. 2ar +7aut$ la plupart +e! r!oleur! ali+ateur! ne +i!tribuent au"une +onne lor!,ue la
!i&nature e!t inali+e. Cela ren+ +i77i"ile le +bo&ua&e au!!i 7aut-il +eman+er &entiment au r!oleur +-enoyer ,uan+ m0me
le! +onne! inali+e!$ ae" l-option S"+ A
% dig <dnssec <cd 3+A e?ample.net
...
;; A*34!# 3!856+*%
e?ample.net. /:;00 6* 3+A ns2.e?ample.net. ...
e?ample.net. /:;00 6* ##36@ 3+A 9 . /:;00 M
.00/22.00:;29A .00/20.20:;29A //90 e?ample.net. &wzF"<...(:&B
'e premier enre&i!trement$ le S?A e!t "e ,ue nou! aion! +eman+$ le !e"on+$ FFSII e!t la !i&nature "rypto&raphi,ue. 'a
ma3orit e!t +u binaire$ ,ue 3e ne "her"herai pa! * lire mai! "ertaine! +onne! !ont en "lair$ notamment l-i+entit +e la "l (i"i
88@<) et le! +ate! +e ali+it +e la !i&nature.
%n e77et$ pour emp0"her un atta,uant +e 4 re3ouer 5 +e ieu: enre&i!trement!$ le! FFSII ont une +ate +e +but et une +ate +e
7in +e ali+it
;L
. +i& a77i"he "ette +ate +an! un 7ormat ,ua!iment li!ible A YYYY//##QQmmSS en H1C. I"i$ la +ate +e 7in +e
ali+it e!t ;<<811;<<LE1@7$ +on" le ;< noembre ;<<8 * <LhE1 H1C. Comme nou! !omme! le ;L noembre$ pa! be!oin +e
"her"her plu! loin A la !i&nature a e:pir
;7
.
%n e77et$ pui!,ue le! !i&nature! ont une +ure +e ie limite$ il 7aut re-!i&ner la zone prio+i,uement. 'e! 7uture! er!ion! +e
BIN# le 7eront automati,uement. /ai!$ en atten+ant$ il 7aut mettre +an! !on "rontab ,uel,ue "ho!e "omme A
dnssec-signzone -* increment e?ample.net
J noter ,u-il e:i!te au!!i +e! 4 boKte! noire! 5 #NSS%C "omme "elle +e Se"ureLE ,ui$ normalement$ ou! +i!pen!ent +e "ette
t9"he.
;E
http%//dnschecJ.iis.se/
;@
http%//www.zonechecJ.fr/
;L
'a prio+e +e ali+it e!t +e un moi!$ par +7aut$ !i on !i&ne ae" l-outil +n!!e"-!i&nzone +e BIN#
;7
2our a77i"her la +ate +u 3our au 7ormat i+enti,ue * "elui +e +i&$ !ur un Hni: ,ui a INH +ate "omme #ebian on peut 7aire date -u <%(%m%d%%=%3.
11D1E CF%S ;<<B
/ai!$ pour l-in!tant$ il 7aut bien +ire ,ue la !i&nature e:pire e!t la "au!e la plu! 7r,uente +e probl8me! #NSS%C. 1ellement
,u-elle aut la peine +-une !ureillan"e !p"i7i,ue. 2ar e:emple$ le !"ript "he">-!i&
;8
ri7ie un nom +e +omaine et a77i"he un
me!!a&e +-erreur !i !a !i&nature e!t e:pire ou bien !i elle le !era bientWt (!ept 3our! par +7aut) A
% checJ-sig e?ample.net
*ame e?ample.net has an e?pired signature D.00/22.00:;29AI
% checJ-sig e?ample.org
*ame e?ample.org has a signature that will e?pire in less than A days D.00/2.02..;;;.I
Il peut +on" 0tre mi! +an! une "rontab pour +onner l-alarme lor!,u-une !i&nature ri!,ue +-e:pirer.
%t la "au!e !uiante$ en nombre +-erreur! U 2robablement le! in"ohren"e! +an! la +l&ation. #NSS%C repo!e$ "omme le
#NS$ !ur un mo+8le hirar"hi,ue. Hne ra"ine +l8&ue * +e! zone! ,ui +l8&uent * +e! !ou!-zone! et ain!i +e !uite. Cha"une +e
"e! +l&ation!$ matriali!e! par un enre&i!trement #S$ e!t i+emment !i&ne. 'a prin"ipale +i77ren"e ae" le #NS e!t ,ue
la ra"ine +e !i&nature peut 0tre +i77rente +e la ra"ine tout "ourt$ &r9"e * #'T. Ain!i$ * l-heure a"tuelle$ la plupart +e! zone!
!i&ne! !ont +l&u! +epui! le re&i!tre #'T +e l-ISC.
?r$ +e! probl8me! peuent !urenir lor! +e! +l&ation! pui!,ue elle! impli,uent +eu: or&ani!ation! +i77rente!. 2ar e:emple$
un a+mini!trateur +e zone +"i+e +e !i&ner "ar "-e!t * la mo+e pui! arr0te +e le 7aire mai! oublie ,u-un enre&i!trement #'T
pointe er! lui (et +on" &arantit ,ue la zone +erait 0tre !i&ne). ?u bien l-a+mini!trateur mo+i7ie !a "l et oublie +e prenir la
zone au-+e!!u!. #e telle! "ontra+i"tion! entre la zone parente et la zone 7ille !ont 7r,uente! +an! le #NS +-au3our+-hui mai!$
ae" #NSS%C$ elle! ne par+onnent pa!.
Suppo!on! +on" ,ue la zone e?ample.net ne 7on"tionne pa! A nou! ne r"upron! ,ue le Server +ailure. Fe&ar+on! !a "l A
% dig <dnssec <cd <multi "*3C!( e?ample.net
...
;; A*34!# 3!856+*%
e?ample.net. ,:: 6* "*3C!( .9A , 9 D
Aw!AAc;?/Cb*!8b<dp""E3vy?f5lv'?>y8,!A18n>"p;
...
I ; Jey id B 2A,-/
Sa "l e!t la 17NB8. %!t-elle bien "hez le parent U ?n +eman+e * "elui-"i A
% dig Qaddr-server-parent <dnssec <cd <multi "3 e?ample.net.
...
;; A*34!# 3!856+*%
; 7Ridentificateur
; vvvv
e?ample.net. 2/00 6* "3 :A,. 9 2 D
EE"""".A.8;"/2!H-;28A..8!HA-A/;/E9;,90." I
?ui$ il y a bien un enre&i!trement #S mai! pour une autre "l$ la L7N;. 'a "haKne +e "on7ian"e e!t "a!!e l*. San! +oute un
"han&ement +e "l e77e"tu !an! prenir le parent. Attention$ il e!t "ourant +-aoir plu!ieur! "l! et il 7aut +on" le! re&ar+er
toute!.
Ae" #'T$ m0me prin"ipe. /a zone sources.org e!t !i&ne et enre&i!tre +an! #'T * l-ISC$ "e ,u-on peut oir ae" A
% dig Qns-e?t.isc.org <multi "7K sources.org.dlv.isc.org
...
;; A*34!# 3!856+*%
sources.org.dlv.isc.org. ,:00 6* "7K ..20A 9 . D
AH2....,!9 I
sources.org.dlv.isc.org. ,:00 6* "7K 2;,;A , 2 D
,2H.../A, I
sources.org.dlv.isc.org. ,:00 6* "7K 2;,;A , . D
0"A...AAH I
;8
http%//www.bortzmeyer.org/files/checJ-sig.sh
1;D1E CF%S ;<<B
sources.org.dlv.isc.org. ,:00 6* "7K ..20A 9 2 D
!AA...AA9 I
Il y a +eu: "l!$ le! 1ENE7 et ;;1<7$ utili!ant +eu: al&orithme! +e "on+en!ation +i77rent!$ +-o6 le! ,uatre #'T. I"i$ tout a
+on" bien.
%t !i la re"her"he +-une "l +an! la zone ne +onnait rien U C-e!t ,ue la zone n-e!t pa! !i&ne. A"tuellement$ "-e!t l-"ra!ante
ma3orit. Sau7 !-il e:i!te une +l&ation #NSS%C +epui! le parent (la zone !erait alor! inali+e)$ "e! zone! ne +oient pa! 0tre
re7u!e!$ !au7 e:tr0me parano\a. Si elle! +"len"hent un Server +ailure$ "-e!t ,u-il y a une rai!on non-#NSS%C * "ela.
?n peut te!ter "e! te"hni,ue! ae" la zone test.dnssec-tools.org
;B
o6 !e trouent +e nombreu: enre&i!trement! #NSS%C
"a!!! olontairement. 2ar e:emple$ futuredate-A.newzsJ-ns.test.dnssec-tools.org a une +ate +e! !i&nature! ali+e
!eulement +an! le 7utur...
2 ui fait du DNSEC $
2%1 Domaines
'a norme a"tuelle$ +ite #NSS%C-bi! (la pr"+ente n-aait "onnu au"un +ploiement) a t publie en ;<<@. 'e premier
+omaine +e t0te (1'#) !i&n$ .S% (Su8+e)$ l-a t en ;<<7
N<
. 'e !e"on+$ .CV (1"h,uie)$ en ;<<8. 'e premier &1'#$ .I?T$ a
t !i&n en ;<<B$ pr"+ant .?FI. #an! tou! le! "a!$ la !i&nature n-impli,ue pa! ,ue +e! +l&ation! !"uri!e! !oient
po!!ible!. Ain!i$ +an! .?FI$ * l-heure a"tuelle$ le! bureau: +-enre&i!trement! ne peuent pa! en"ore enoyer +e!
enre&i!trement! #S. 'e! !eul! +e "e! enre&i!trement! ,ui e:i!tent ("omme bondis.org) !ont 7ait! manuellement !elon une
pro"+ure nomme 4 Friends A +amily 5.
Certain! +omaine! important!$ "omme +e! !ou!-+omaine! +e in-addr.arpa et +-ip:.arpa$ &r! par le FI2%-NCC$ !ont
&alement !i&n!.
'a ra"ine elle-m0me$ !elon le plan annon" en o"tobre ;<<B * la runion FI2% +e 'i!bonne$ !era !i&ne * partir +e 3anier
;<1<$ !elon un m"ani!me pro&re!!i7$ menant * une !i&nature "ompl8te et oprationnelle en 3uillet. 2ar "ontre$ au"une +ate n-a
t annon"e pour le! +l&ation! !"uri!e! +e 1'# (i.e. l-in!ertion +e #S +an! la ra"ine).
#u 7ait +u "ara"t8re e!!entiel +e la ra"ine$ notamment pour la re,u0te initiale +u r!oleur (le "rimin*$ o6 un r!oleur ,ui
ient +e +marrer e!!aie +-obtenir la li!te * 3our +e! !ereur! +e nom! +e la ra"ine)$ "e +ploiement !era * !ureiller ae" la plu!
&ran+e attention. 'e! !ite! ,ui "ontinuent * blo,uer le! rpon!e! #NS +e plu! +e @1; o"tet! (une &rae 7aute$ en ;<<B)$
pourraient ne plu! pouoir 3oin+re la ra"ine.
'-AFNIC a annon" la !i&nature +e .FF$ +butant * l-t ;<1<$ pour un pa!!a&e en pro+u"tion * l-automne. #e! point! "omme la
+l&ation !"uri!e$ le rWle +e! interm+iaire! ou bien "omme le! entuel! "oOt! n-ont pa! en"ore t tran"h!.
Teri!i&n a annon" la !i&nature +e .N%1 et +e .C?/ en ;<11. Cette +ate tar+ie !-e:pli,ue par +e! blo"a&e! politi,ue! ou
bureau"rati,ue!$ mai! au!!i par le "ara"t8re !trat&i,ue +e "e! &1'# (!i .C?/ e!t en panne$ pour la plupart +e! utili!ateur!$
"-e!t "omme !-il n-y aait plu! +-Internet) et par leur taille (.C?/ a plu! +e !oi:ante-+i: million! +e +omaine!$ un +7i pour le!
lo&i"iel! +e !i&nature$ et pour le! !ereur! ,ui +eront "har&er une telle zone).
2%2 +ogiciels
1ou! le! !ereur! #NS !rieu:
N1
au3our+-hui &8rent #NSS%C. C-e!t le "a!$ pour le! !ereur! 7ai!ant autorit$ +e BIN# B et +e
NS#$ et pour le! r"ur!eur!$ +e BIN# B et +e Hnboun+. 2o[er#NS et 2o[er#NS re"ur!or ont +u "o+e #NSS%C +an! leur!
er!ion! +e +eloppement et la er!ion 7inale +erait !ortir en ;<1<.
2ar "ontre$ le! lo&i"iel! 4 au:iliaire! 5 "omme Vone"he"> pour le! ri7i"ation! +e zone$ ou "omme "ertain! lo&i"iel! +e
&e!tion et +-+ition +e zone$ n-ont pa! en"ore "e! 7on"tion!.
3 Conclusion
2en+ant lon&temp!$ #NSS%C a !embl 0tre$ "omme I2L$ une +e "e! te"hnolo&ie! a!tu"ieu!e!$ et m0me brillante!$ mai! ,ue
per!onne ne +ployait "ar elle ne rapportait rien. Hn e:po! !ur #NSS%C a eu lieu * CF%S en ;<<N et pre!,ue rien n-aait
bou& +epui!.
'e! "ho!e! ont toute7oi! !ubitement "han& ae" l-annon"e +e la 7aille 4 =amin!>y 5 en ;<<8. Cette 7aille tran!7ormait une
ulnrabilit "onnue$ mai! tr8! thori,ue$ en une po!!ibilit * "ourt terme. Cette annon"e a bru!,uement +blo,u le
+ploiement +e #NSS%C et le! annon"e! !e !ont !uiie! +e mani8re r&uli8re +epui!. Au +but +e ;<1<$ il y aura eniron +i:
;B
http%//www.dnssec-tools.org/testzone/
N<
Sau7 in+i"ation "ontraire$ le! +ate! !ont tou3our! pour +e! mi!e! en pro+u"tion o77i"ielle$ pa! pour +e! e!!ai! ou +e! +mon!tration!. .S% aait "onnu une
premi8re !i&nature e:primentale +8! ;<<@.
N1
%n e:"luant le! pro3et! per!onnel!.
1ND1E CF%S ;<<B
1'# !i&n!. /ai!$ en "omptant le! annon"e! !rieu!e! ,ui ont +3* t 7aite! et en oyant le! "oll8&ue! traailler$ on peut +ire
,ue "e! 1'# !i&n! !eront "in,uante * la 7in +e ;<1<$ ,ui !era !an! +oute l-4 anne #NSS%C 5.
#e! &ran+e! ,ue!tion! re!tent ouerte! A le! a+mini!trateur! +e r!oleur! ont-il! a"tier ma!!iement la ali+ation U 1out !e
pa!!era t-il "orre"tement U %!t-"e ,ue la plu! &ran+e 7ra&ilit +u #NS +ue * #NS%C pro+uira +e! panne! et un retour +e b9ton U
#e noueau: pro&r8! +an! l-e:ploitation +e la 7aille =amin!>y impo!eront-il! une mar"he er! #NSS%C en"ore plu! rapi+e U
4i'liographie
]1^ 2. Ti:ie$ FFC ;L71$ 4 )<tension ?ec.anisms for DNS B)DNS0; 5$ aoOt 1BBB
];^ #. At>in! et F. Au!tein$ FFC N8NN 4 5.reat 3nalysis of t.e Domain Name System 5$ aoOt ;<<E
]N^ F. Aren+!$ F. Au!tein$ /. 'ar!on$ #. /a!!ey$ S. Fo!e$ FFC E<NN 4 DNS Security &ntroduction and ,euirements 5$ mar!
;<<@
]E^ F. Aren+!$ F. Au!tein$ /. 'ar!on$ #. /a!!ey$ S. Fo!e$ FFC E<NE 4 ,esource ,ecords for t.e DNS Security
)<tensions 5$ mar! ;<<@
]@^ F. Aren+!$ F. Au!tein$ /. 'ar!on$ #. /a!!ey$ S. Fo!e$ FFC E<N@ 4 7rotocol ?odifications for t.e DNS Security
)<tensions 5$ mar! ;<<@
]L^ /. StCohn!$ FFC @<11 4 3utomated C"dates of DNSS)$ 5rust 3nc.ors 5$ !eptembre ;<<7
]7^ B. 'aurie$ I. Si!!on$ F. Aren+!$ #. Bla">a$ FFC @1@@$ 4 DNSS)$ =as.ed 3ut.enticated Denial of )<istence 5$ mar!
;<<8
]8^ A. Qubert$ F. an /oo>$ FFC @E@;$ 4 ?easures for ?akin* DNS ?ore ,esilient a*ainst +or*ed 3ns>ers 5$ 3anier ;<<B
]B^ Alan Cle&&$ 4 DNSS)$ in D minutes 5. http%//www.isc.org/files/"*33!8SinS:Sminutes.pdf
]1<^ ?l7 =ol>man$ 4 DNSS)$ =@45@ 5. http%//www.nlnetlabs.nl/dnssecShowto/
]11^ SHFFnet$ 4 =ardenin* t.e &nternet 5. http%//www.surfnet.nl/"ocuments/"*333!8-web.pdf
1ED1E CF%S ;<<B