DNSSEC Trust Anchor Publication for the Root Zone

/7958.html

  • RFC 7958 : DNSSEC Trust Anchor Publication for the Root Zone

    Le mécanisme d’authentification des informations DNS nommé #DNSSEC repose sur la même structure arborescente que le #DNS : une zone publie un lien sécurisé vers les clés de ses sous-zones. Un résolveur DNS validant n’a donc besoin, dans la plupart des cas, que d’une seule clé publique, celle de la racine. Elle lui servira à vérifier les clés des TLD, qui serviront à valider les clés des domaines de deuxième niveau et ainsi de suite. Reste donc à configurer la clé de la racine dans le résolveur : c’est évidemment crucial, puisque toute la sécurité du système en dépend. Si un résolveur est configuré avec une clé fausse pour la racine, toute la validation DNSSEC est menacée. Comment est-ce que l’#ICANN, qui gère la clé principale de la racine, publie cette clé cruciale ? Six ans après la signature de la racine du DNS, c’est enfin documenté, dans ce #RFC.

    http://www.bortzmeyer.org/7958.html