La zone DNS racine contient des informations sur la manière d'interroger les serveurs de noms des domaines de premier niveau (TLD) (.com, .edu, .org, etc). Elle permet aux internautes d'accéder à des noms de domaine dans tous les TLD, même les plus récents tels que .software et .bank, ce qui en fait une partie intégrante de l'Internet mondial.
Dans Comment fonctionne DNSSEC, nous avons expliqué comment la confiance dans le DNSSEC dérive de l'enregistrement de ressources DS de la zone parent. Cependant, la zone DNS racine n'a pas de parent, comment pouvons-nous donc faire confiance à l'intégrité et à l'authenticité de ses informations ?
Avec l'aimable autorisation de l'IANA
C'est l'objectif de la cérémonie de signature de clé de la zone racine, une procédure rigoureuse de signature des informations de clé publique de la zone DNS racine pour les quelques mois suivants. La clé de signature privée utilisée dans cette procédure représente littéralement la clé de l'ensemble de l'Internet protégé par les DNSSEC. Une cérémonie publique, vérifiée et étroitement contrôlée encadrant l'accès à cette clé est une nécessité pour que DNSSEC soit en succès en tant que norme mondiale.
Ólafur Guðmundsson, responsable de l'ingénierie chez Cloudflare et agent de cryptographie à l'ICANN, a participé à la cérémonie en août dernier. Voici ses réflexions sur la cérémonie de signature de clé de la zone racine.
dig . dnskey +dnssec
. 20868 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=
. 20868 IN DNSKEY 256 3 8 AwEAAa67bQck1JjopOOFc+iMISFcp/osWrEst2wbKbuQSUWu77QC9UHL ipiHgWN7JlqVAEjKITZz49hhkLmOpmLK55pTq+RD2kwoyNWk9cvpc+tS nIxT7i93O+3oVeLYjMWrkDAz7K45rObbHDuSBwYZKrcSIUCZnCpNMUtn PFl/04cb
. 20868 IN RRSIG DNSKEY 8 0 172800 20150913235959 20150830000000 19036 . QKU/YSUHNXa0coshORV2r8o0PWZ43dn/u1ml4DglqLXTi2WJh+OyMFgi w4Xc7cF4T8Eab5TLbwqDHOrE87fmvcdSgQQOVwYN6jwStHAliuEICs6X rd+sqanyyMpaynLI630k5PuuQVOWxHn/Hyn4yFN5MJoQG9Pz+gn8FjCB oNGs0vu1TQm2m6DSGfjRTd7tRIchXAbOUvEVVnDWaTNPX3c35xqoHlUZ Ta00N9FvKqEwZDjdR1e0BCaDLL/Pk+CRygzOyfSKiuULzKEecsp3jPYY nXfKZmTuMuaQNRmcyJD+WSFwi5XyRgqrnxWUYmFcum4zw1NXdyp0mlGO slQ6NQ==
La cérémonie de signature de clé de la zone racine fait des serveurs de noms DNS racine une ancre de confiance. Au lieu de partir d'une confiance dérivée d'une zone parentale, la confiance est supposée. Toute cette cérémonie est conçue pour renforcer cette confiance. Il s'agit d'un aspect très humain de la sécurisation de l'Internet : la raison pour laquelle vous pouvez faire confiance aux serveurs DNS racine tient à la confiance que vous avez dans les personnes qui les signent. Et si vous pouvez faire confiance aux personnes qui le signent, c'est parce que les protocoles qu'elles suivent pour le faire sont très stricts. C'est pour cela qu'existe la cérémonie de signature de clé de la zone racine.
Configurez un domaine en moins de 5 minutes. Conservez votre fournisseur d'hébergement. Aucune modification du code n'est requise.