Panne du TLD (domaine de tête) .gov ce 14 août pendant environ deux heures. Tous les noms sous .gov (nsa.gov, fbi.gov...) étaient donc invalides. Une erreur logicielle a entraîné la publication d’une mauvaise clé #DNSSEC, rendant le domaine inaccessible pour tous les résolveurs validants (nombreux aux États-Unis, avec notamment Comcast et Google Public DNS, ce qui explique que cette panne ait suscité bien plus de buzz que les pannes DNSSEC précédentes).
Bonne analyse technique : ▻https://isc.sans.edu/diary/.GOV+zones+may+not+resolve+due+to+DNSSEC+problems./16367
L’explication officielle de #Verisign, registre de .gov (ça se tient, cette histoire de publication des mauvaises clés) ▻http://mailman.nanog.org/pipermail/nanog/2013-August/060328.html
Un article surtout intéressant pour l’opinion émise à la fin (oui, DNSSEC vaut la peine) : ▻http://www.virusbtn.com/news/2013/08_15.xml
Un résumé, mais l’intérêt provient des nombreux commentaires, notamment de candidats aux nouveaux TLD ICANN (commentaires supprimés depuis, leurs auteurs ont dû s’auto-censurer) qui se plaignent des exigences incroyables qu’on leur impose (au nom de la « sécurité et stabilité ») alors que l’ICANN impose DNSSEC, qui leur semble plus dangereux : ▻http://domainincite.com/14159-verisign-confirms-gov-downtime-blames-algorithm
Un mauvais article d’Ars Technica (très confus techniquement) : ▻http://arstechnica.com/information-technology/2013/08/that-gov-outage-this-morning-blame-an-error-in-domain-name-security
Leçons à en tirer ? DNSSEC, c’est délicat et cela doit être fait soigneusement. C’est aussi l’occasion de rappeler que le terme fourre-tout de « sécurité » est à utiliser avec prudence. DNSSEC améliore l’intégrité et peut diminuer (s’il est mal fait) la disponibilité. Intégrité et disponibilité sont souvent en conflit, même si on les met toutes les deux sous l’étiquette « sécurité ».