Vous êtes ici :
-
Consultations
-
Commandes publiques de l'Afnic
-
Documents de référence
-
Statistiques
-
Publications
-
Blog
- Le .ORG – une autre perspective
- Retour sur le succès de la première rencontre du Cercle des .marque
- Facteurs clés de succès des extensions internet : une grille d’analyse
- [Vidéo] Retour sur le Forum de la Gouvernance Internet (FGI) France 2019
- Un petit exemple d'utilisation des données ouvertes de l'Afnic
- Réflexions sur les modèles économiques des « nouveaux TLD »
- 30 ans, des succès, et des risques ; le Web, l'URL et le futur
- [Success stories] Renforcer son infrastructure pour l’adapter à ses ambitions
- 1er février 2019 : le DNS va-t-il trembler ?
- [Success stories] Ils ont fait le choix d’une extension internet personnalisée
- [Success stories] Le .museum, une extension internet historique redynamisée
- Les grandes étapes pour lancer efficacement votre .marque
- 6 secrets pour améliorer le renouvellement des noms de domaine
- [Vidéo] Retour en images sur l'IGF 2018 Paris
- Le .MARQUE pour optimiser l'expérience client
- L’Afnic s’implique dans la sécurité du DNS au niveau international
- Remplacement de la clé KSK de la zone racine : Êtes-vous prêts ?
- Comment la SNCF a mis en oeuvre sa nouvelle stratégie digitale avec oui.sncf ?
- Projet de R&D: classification automatique des abus en matière de noms de domaine
- Mémorisation auditive des noms de domaine
- Quelles actions mener face aux abus sur les noms de domaine ?
- Usurpation d’identité par nom de domaine : ce que fait l’Afnic
- Cybersquatting, Spam, Phishing… les différents types d’abus sur noms de domaine
- [Vidéo] Retour sur le Forum de la Gouvernance de l'Internet France 2018
- Les extensions internet personnalisées : quelles opportunités pour les marques ?
- Comment éviter l'irrecevabilité dans la procédure SYRELI
- Quels sont les termes anglophones les plus utilisés dans les domaines en .FR ?
- Sécurité des noms de domaine, l'exemple des cryptomonnaies
- Test de personnalité : êtes-vous prêts pour le RGPD ?
- Les extensions comme le .alsace ont-elles un effet sur le SEO local ?
- Quels sont les termes les plus utilisés dans les noms de domaine en .fr ?
- Les 11 endroits incontournables où votre adresse internet doit apparaitre !
- Quels moyens d'actions pour les ayants-droits non éligibles à la charte du .fr ?
- Litige sur un nom de domaine: la reconnaissance des droits d'une AOC dans SYRELI
- Pourquoi utiliser un nom de domaine sous une nouvelle extension ?
- L'Afnic, une communauté avant tout !
- La défense des droits de la personnalité dans la procédure SYRELI
- Le prochain round des nouveaux gTLD, c’est pour quand ?
- Pourquoi venir à l’Afnic Forum ?
- Résolveur public de DNS-sur-TLS Yeti
- 2016, début d’un nouveau cycle pour l’Afnic
- Le .fr vient de franchir le cap des 3 millions de noms de domaine
- Mon expérience au sein du service Juridique de l'Afnic
- [Vidéo] 4 conseils pour réussir le lancement de votre entreprise sur Internet
- Futur de l’ICANN: Ni privatisation, ni internationalisation, ni supervision
- Excellence à l’Afnic – le coming out
- Offre exclusive : votre nom de domaine 100% Remboursé* !
- Intervention à l'occasion de la remise du plan de transition IANA
- Afnic Football Club
- 8 astuces pour bien choisir son nom de domaine
- IPv6 et DNSSEC ont 20 et 19 ans. Même combat et mêmes défis !?
- Le projet Yeti d'expérimentation d'une racine DNS
- L.45-2 1° du CPCE : Quand le nom de domaine porte atteinte à la loi
- Comment éviter de se faire voler son nom de domaine par email ?
- Responsabilité et transition IANA : les coulisses
- République numérique : Ceci n’est pas une consultation publique
- Faut-il une approche globale pour les marques territoriales françaises ?
- Ne vendez plus de noms de domaine !
- abc.xyz : erratum.xyz
- abc.xyz : et pendant ce temps en France ?
- abc.xyz : pourquoi pas alphabet.com ? (Version théorie du complot)
- abc.xyz : le succès controversé du .xyz
- Communication institutionnelle : une tension permanente ?
- abc.xyz : pourquoi pas alphabet.com ?
- alphabet.xyz : comment Alphabet a acheté son nom de domaine ?
- abc.xyz : pas d’inquiétude, nous sommes aussi en train de nous habituer à ce nom
- La transition IANA franchit une étape majeure à Buenos Aires
- Une journée dans la vie de la communauté habilitée ICANN
- Transition IANA : la machine est lancée, mais l'échéance approche
- La Chine, une mutation à pas de géant
- Vers un DNS moins indiscret
- Les Parl : mettez toutes les chances de votre côté
- Icann : la gouvernance pour quoi faire ?
- ICANN Singapour. Un débat au bout du monde
- Synthèse de la table-ronde Afnic sur la solidarité numérique
- Mesurer la « qualité » de l'accès à l'Internet, mission difficile
- Réforme de l'Icann, la boite de Pandore est ouverte
- Comment se porte l'Internet en France ?
- Forum sur la Gouvernance de I’Internet : Que faire ?
- Spam suffit !
- Icann : ne bougez plus !
- Escroqueries et usurpations d’identité, expérience d’un rapporteur SYRELI
- La reforme des régions ne sonnera pas la fin des geoTLD français
- Que retenir de NETmundial ?
- Avis de changement à l'Afnic !
- Suggestions pour une transition IANA réussie
- Sur la gouvernance de l'Internet, les Etats Unis jouent la carte Icann
- Retour vers le futur du service juridique de l’Afnic
- Pourquoi les territoires veulent-ils leur place sur Internet ?
- Vers une nécessaire rationalisation du « panier gTLDs » des registrars ?
- L'éléphant IANA est dans la salle
- Syreli fête ses deux ans
- 2014 : changement de jalons pour le système de nommage
- Le système de nommage de GNUnet
- Gouvernance de l’Internet : Au travail !
- La responsabilité sociétale et l'ADN des ccTLDs
- Mais que fait l'Afnic ?
- Conseil d'Etat, Léon Blum, Lawrence Lessig et l'Afnic
- Qui est derrière le Whois ?
- Registrars Atlas 2013, ce qu'il faut retenir
-
FAQ
-
Lexique
-
Certificats
Remplacement de la clé KSK de la zone racine : Êtes-vous prêts ?
09 octobre 2018 - Par Vincent Levigneron
Le 18 septembre l’ICANN publiait une décision de son Board. Elle met un terme à plus de 2 ans de tergiversations sur le remplacement de la clé KSK (Key Signing Key) de la zone racine. Ce remplacement aura lieu le 11 octobre 2018.
En effet, depuis la mise en œuvre de DNSSEC en 2010 au niveau de la zone racine, c’est la même clé cryptographique (dite KSK-2010*) qui est utilisée pour signer la ZSK (Zone Signing Key), laquelle ZSK étant utilisée pour signer à son tour la zone racine. Cette KSK-2010 représente le point d’entrée qui, par le jeu des délégations, permet de créer une chaîne de confiance validant l’intégrité d’une réponse sur un enregistrement DNS d’une zone signée. Ceci explique pourquoi elle est stratégique.
Cette décision vous concerne plus particulièrement si vous exploitez, pour vous-même ou pour vos clients, un service de résolution DNS et que celui-ci est configuré pour réaliser de la validation DNSSEC. Dans ce cas, il est encore temps de vous mettre en conformité, si jamais vous n’aviez pas encore dans votre trousseau de clés la KSK-2017.
Pourquoi diable, en 2018, nommer cette clé KSK-2017 ?
Eh bien tout simplement parce qu’initialement, cette clé, créée en 2016, devait entrer en service en 2017. Or, l’ICANN a été dans l’obligation de repousser cette opération, suite à plusieurs alertes de la communauté qui s’inquiétait de l’impact que cela pourrait avoir sur les utilisateurs. Cela a conduit à la réalisation d’études d’impact qui concluent toutes qu’il y aurait effectivement une incidence visible. Par exemple, la mise en œuvre du RFC-8145 qui permet, entre autres, aux résolveurs validants d’indiquer quelles clés de confiance sont utilisées pour la racine, a permis de collecter des données à analyser. Il ressort de ces données que même si une majorité des résolveurs « participant » à cette collecte connaissent bien les 2 clés (la KSK-2010 et la KSK-2017), les 100% ne sont pas atteints.
Cependant, avec la garantie que les plus importants acteurs du secteur sont aujourd’hui prêts pour ce changement et avec la conviction que ces quelques pourcentages de résolveurs non conformes ne représentent en réalité qu’une « petite » fraction (à l’échelle d’internet, cela pourrait quand même vite représenter quelques millions d’utilisateurs), l’ICANN a décidé de franchir le Rubicon ce 11 octobre. Plus que quelques jours à attendre pour constater l’impact réel de ce changement.
Aussi, si vous êtes directement concerné, et que votre résolveur DNS validant ne contient pas ces 2 clés, il est nécessaire d’ajouter rapidement la KSK-2017 à votre trousseau de clés afin d’anticiper des problèmes de validation. La consultation des 2 liens fournis à la fin de ce billet devrait vous permettre de réaliser cette opération.
(*) Dans les faits, les clés ne sont pas identifiées avec ces 2 labels (KSK-2010/KSK-2017) mais par des entiers appelés « Key Tag ». Les clés KSK-2010 et KSK-2017 ont respectivement pour « Key Tags » 19036 et 20326.
Comment vérifier que votre résolveur connaît bien la KSK-2017 ?
En toute logique, sur une version récente de Bind, Unbound… la mise en œuvre du RFC-5011 assure la présence des 2 clés (KSK-2010 et KSK-2017). Voici, de manière non exhaustive quelques tests à réaliser pour valider que c’est bien le cas.
Si vous utilisez :
- Unbound : consultez le fichier « /var/lib/unbound/root.key » (Attention, il est peut-être ailleurs si la configuration a été personnalisée).
- Bind : sur les versions récentes (> 9.11), utilisez la commande « rndc managed-keys status », sur les autres, il faut chercher un des fichiers bind.keys, managed-keys.bind ou *.mkeys (cela dépend de votre configuration).
- Knot Resolver : tapez la commande « trust_anchors.keysets » dans la console.
- PowerDNS Recursor : tapez la commande « rec_control get-tas ».
Pour une information plus détaillée, nous vous recommandons les 2 liens suivants :
Autres liens Afnic utiles sur DNSSEC :
(*) Dans les faits, les clés ne sont pas identifiées avec ces 2 labels (KSK-2010/KSK-2017) mais par des entiers appelés « Key Tag ». Les clés KSK-2010 et KSK-2017 ont respectivement pour « Key Tags » 19036 et 20326.
Ce nom de domaine
est-il disponible ?
Actualités
- 9 décembre 2019 Résultats de l'étude Afnic « Réussir avec le Web » sur la présence en...
- 29 novembre 2019 La Fondation Afnic va financer 59 projets qui contribuent à l’inclusion numé...
- 19 novembre 2019 Décryptage : Noms de domaine spécifiques à une marque
- 12 novembre 2019 Le .museum, un gage de sérieux et une extension de choix pour rayonner hors des...
- 5 novembre 2019 L’Afnic sensibilise les TPE/PME à la présence en ligne au Salon des entrepre...