Voilà, dernière ligne droite, les gérants de L.root-servers.net
confirment la date où le premier serveur racine va commencer à
diffuser une zone signée avec DNSSEC : après-demain mercredi 27 entre
19h et 21h (heure française) (cf. message attaché).
En juillet 2010, tous les serveurs de noms de la racine diffuseront
des réponses cinq à dix fois plus grandes qu'aujourd'hui. Dans
certains cas, cela pourra entrainer une coupure quasi-complète de
votre accès à l'Internet. Ce document explique pourquoi, qui peut être
touché, comment tester si on est vulnérable et comment résoudre le
problème s'il est présent. (Évidemment, tous les lecteurs de cette
liste sont déjà au courant, je voulais plutôt vous fournir un document
que vous pouvez faire circuler auprès de vos clients et partenaires.)
La racine du DNS sera signée avec la technologie DNSSEC et la
diffusion des signatures s'étalera de janvier à juillet 2010. En
juillet, tous les treize serveurs DNS de la racine enverront les
informations DNSSEC. Celles-ci, des signatures cryptographiques, sont
de taille bien plus importante que les réponses DNS classiques. Elles
dépasseront l'ancienne limite de 512 octets du DNS et même la limite
des 1500 octets de la MTU Ethernet (la plus répandue sur l'Internet).
En effet, le RFC 2671 qui supprimait la limite des 512 octets est
sorti en août 1999, il y a plus de dix ans. Mais il existe toujours un
certain nombre de pare-feux ou d'autres équipements réseau qui, mal
conçus ou bien mal configurés, refusent les réponses DNS de plus de
512 octets. Parmi ceux qui les acceptent, certains ne gèrent pas
correctement la fragmentation des paquets IP (par exemple parce qu'ils
bloquent tous les paquets ICMP) et ne peuvent donc pas recevoir des
paquets DNS de taille supérieure à la MTU, en général 1500 octets.
Les réseaux qui rejettent les paquets DNS de plus de 512 octets, ou
même seulement ceux de plus de 1500 octets, ne pourront plus parler à
la racine du DNS après juillet 2010 (puisqu'ils ne recevront plus les
réponses) et n'auront donc quasiment plus d'accès Internet en
pratique.
Il est donc important de tester votre réseau pour voir si la
résolution DNS pourra fonctionner correctement après juillet 2010. Le
moyen le plus simple est, sur une machine où le logiciel dig est
installé (la plupart des Unix), de taper :
dig +short rs.dns-oarc.net txt
et de voir si la réponse indique plus de 1500 octets, comme ici :
"203.0.113.1 DNS reply size limit is at least 4023 bytes"
Cet outil, produit par l'OARC (DNS Operations, Analysis and Research
Center) est documenté en
<https://www.dns-oarc.net/oarc/services/replysizetest>.
Si le test indique que les paquets de plus de 1500 octets ne peuvent
pas passer, vous devez analyser l'ensemble de votre réseau et tous les
équipements intermédiaires (notamment les pare-feux) pour s'assurer
qu'ils sont configurés correctement.
Glossaire :
DNS : http://fr.wikipedia.org/wiki/Domain_Name_System
DNSSEC : http://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
ICMP : http://fr.wikipedia.org/wiki/Internet_Control_Message_Protocol
MTU : http://fr.wikipedia.org/wiki/Maximum_Transmission_Unit
Quelques références utiles :
- L'annonce du plan de signature de la racine
<http://www.ripe.net/ripe/meetings/ripe-59/presentations/uploads/presentations/Tuesday/Plenary%2014:00/Abley-DNSSEC_for_the_Root_Zone.mId7.pdf>
- Le site officiel du projet de signature
<http://www.root-dnssec.org/>, avec le calendrier de déploiement
- Les instructions d'un serveur racine
<http://labs.ripe.net/content/preparing-k-root-signed-root-zone>
- Votre serveur DNS peut-il faire passer des paquets de toutes les
tailles ? <http://www.bortzmeyer.org/dns-size.html>
--- Begin Message ---
Hi
As part of staged, incremental deployment of DNSSEC in the root zone L-Root
will begin serving a Deliberately Unvalidatable Root Zone (DURZ) after the
completion of its scheduled maintenance at 2010-01-27 1800 UTC - 2000 UTC
Please contact L-Root NOC via n...@dns.icann.org or T: +1.310.301.5817 if you
have any questions.
Please contact with roots...@icann.org if you have any questions regarding
DNSSEC Deployment at root zone.
Regards
Joe Abley / Mehmet Akcin / Dave Knight
ICANN DNS Ops / L-ROOT
--
This is the SANOG (http://www.sanog.org/) mailing list.
--- End Message ---
