Roulement de la KSK de la zone racine
Pour suivre la mise en œuvre du roulement, consultez la page consacrée à l'état d'avancement du roulement. Les mises à jour seront envoyées à la liste de diffusion https://mm.icann.org/listinfo/ksk-rollover. En cas d'urgence avec votre résolveur, veuillez consulter les informations ci-dessous.
Aperçu
Ressources
Participer
Contexte
Calendrier préliminaire
Plans opérationnels
Plan de communication
Actualités
1er février 2018 – Annonce du plan préliminaire pour la poursuite du roulement de la KSK
18 décembre 2017 – État de situation du projet de roulement de la KSK de la zone racine
27 septembre 2017 – Report du roulement de la KSK
7 septembre 2017– Vigilance des opérateurs réseau et FSI : êtes-vous prêt pour le roulement de la clé KSK de la zone racine ?
27 octobre 2016 – Début des opérations de roulement de la KSK
Mises à jour techniques
1er février 2018 – Annonce du plan préliminaire pour la poursuite du roulement de la KSK
18 décembre 2017 – État de situation du projet de roulement de la KSK de la zone racine
17 octobre 2017 – Report du roulement de la KSK de la zone racine
27 septembre 2017 – L'ICANN annonce un report du roulement de la KSK
4 septembre 2017 –Vérifier les ancres de confiance actuelles des résolveurs de validation du DNS
4 septembre 2017 – Mise à jour des résolveurs de validation du DNS selon l'ancre de confiance la plus récente
11 juillet 2017 – La KSK-2017 est publiée au sein du DNS
Aperçu
L'ICANN prévoit d'effectuer un roulement KSK des extensions de sécurité du système des noms de domaine (DNSSEC) tel que requis dans la déclaration de pratiques DNSSEC de l'opérateur KSK de la zone racine [TXT, 99 KB].
Rouler la KSK signifie générer une nouvelle paire de clés cryptographiques publiques et privées et distribuer la nouvelle composante publique aux parties qui exploitent les résolveurs de validation, y compris : les fournisseurs de services Internet ; les administrateurs de réseaux d'entreprise et autres opérateurs du résolveur du système des noms de domaine (DNS) ; les développeurs de logiciels de résolveurs du DNS ; les intégrateurs du système ; et les distributeurs de matériel et de logiciels qui installent ou expédient l'« ancre de confiance » de la racine. La KSK est une clé cryptographique servant à signer la clé de signature de zone (ZSK), qui est utilisée par le responsable de la maintenance de la zone racine pour signer avec les DNSSEC la zone racine du DNS de l'Internet.
Tenir à jour la KSK est fondamental pour s'assurer que les résolveurs DSN validant le DNSSEC continuent de fonctionner après le roulement de clé. Ne pas avoir la KSK actuelle de la zone racine aura pour conséquence que les résolveurs validant le DNSSEC seront incapables de résoudre les requêtes du DNS.
Les plans de roulement de la KSK ont été développés par les partenaires de gestion de la zone racine ; l'ICANN, en tant qu'opérateur des fonctions IANA, Verisign, en tant que responsable de la maintenance de la zone racine et l'administration nationale des télécommunications et de l'information du département du commerce des États-Unis (NTIA) en tant qu'administrateur de la zone racine. Le rôle de la NTIA a pris fin le 1er octobre 2016. Les plans de roulement de la KSK ont été publiés en juillet 2016 et tiennent compte des recommandations de l'équipe de conception du roulement de la KSK de la zone racine [PDF, 1.01 MB].
Ressources
Pour mieux connaître les informations pertinentes et les ressources supplémentaires, veuillez consulter la page :
- À quoi s'attendre lors du roulement de la KSK de la racine [PDF, 95 KB]
- Guide rapide : préparez vos systèmes pour le roulement de la KSK de la racine [PDF, 48 KB]
- vérifier les ancres de confiance actuelles des résolveurs de validation du DNS
- mise à jour des résolveurs de validation du DNS selon l'ancre de confiance la plus récente
- Recommandations relatives à la KSK du DNSSEC de la zone racine [PDF, 1.01 MB]
- Page d'information sur le DNSSEC
- DNSSEC pour tous - un guide pour débutants (55e réunion de l'ICANN)
- Atelier DNSSEC (55e réunion de l'ICANN)
- IANA - Gestion de la zone racine
- Rapport consultatif du SSAC sur le roulement des clés DNSSEC dans la zone racine [PDF, 480 KB]
- Séminaire Web sur l'état d'avancement du roulement de la KSK de la zone racine - Présentation par Matt Larson [PDF, 741 KB]
- Aperçu du RFC8145, l'ancre de confiance de signalement pour le roulement de la KSK 2017 - Présentation par Duane Wessels de Verisign [PDF, 895 KB]
Participer
Poser une question
Envoyez un courrier électronique à globalsupport@icann.org en mettant « roulement de la KSK » dans la ligne objet du message pour poser vos questions.
Assister à un événement
Consulter le calendrier des événements pour trouver les prochaines présentations du roulement de la KSK.
S'engager sur les réseaux sociaux
Utiliser le hashtag #KeyRoll pour participer à la conversation : https://twitter.com/icann
Rejoindre la liste de discussion du roulement de la KSK
Inscrivez-vous à la liste de diffusion pour participer aux débats publics sur des questions connexes : https://mm.icann.org/listinfo/ksk-rollover
Passer le mot
Partagez cette page Web avec d'autres pour les aider à mieux connaître le roulement de la KSK et les effets éventuels.
Contexte
En 2009, les partenaires de la RZM ont collaboré au déploiement de DNSSEC dans la zone racine, qui a abouti à la première publication d'une zone racine signée ayant été validée en juillet 2010.
Les exigences [PDF, 116 KB] pour générer et maintenir la KSK de la zone racine, ainsi que les responsabilités respectives de chacun des partenaires de la RZM, ont été spécifiées par la NTIA. Les procédures par lesquelles ces exigences ont été remplies par le responsable de la maintenance de la zone racine (Verisign) et l'opérateur des fonctions IANA (ICANN) ont été publiées dans des déclarations de politique et pratiques du DNSSEC (DPS). DPS du service de signature de DNSSEC de Verisign [PDF, 138 KB] et DPS de l'opérateur de la KSK de la zone racine [TXT, 99 KB].
Le contrat des fonctions IANA entre la NTIA et l'ICANN a été modifié en juillet 2010 pour y inclure les responsabilités liées à la gestion de la KSK de la zone racine, et ces exigences ont été reportées dans les révisions subséquentes de ce contrat.
L'accord de coopération entre la NTIA et Verisign a été également modifié en juillet 2010 pour refléter les responsabilités de Verisign en tant qu'opérateur de la KSK de la zone racine.
Le contrat des fonctions IANA exige le roulement de la KSK de la zone racine, mais ne spécifie ni les exigences et le calendrier détaillés, ni un plan de mise en œuvre. Le DPS de l'opérateur de la zone racine de la KSK contient la déclaration suivante, établissant les conditions du roulement à l'article 6.5 :
« Chaque RZ KSK devrait être roulée au cours d'une cérémonie de clé selon les besoins, ou après 5 ans d'opération ».
Calendrier
Ces dates peuvent changer en raison de considérations opérationnelles.
- 27 octobre 2016 : le processus de roulement de la KSK après la génération de la nouvelle KSK.
- 11 juillet 2017: publication de la nouvelle KSK dans le DNS
- 19 septembre 2017 : augmentation de la taille de la réponse DNSKEY des serveurs de noms racine
- 1er février 2018 : période de consultation publique du plan visant à résumer les débuts du roulement KSK - fin le 2 avril 2018.
- Des dates supplémentaires seront annoncées à mesure que les plans du projet du roulement KSK de la zone racine sont mis à jour
Plans opérationnels
- Plan opérationnel de mise en œuvre du roulement de la KSK 2017[PDF, 741 KB] - Décrit en détail les étapes opérationnelles à suivre pour accomplir le projet de roulement de la KSK 2017, y compris la chronologie du processus en huit étapes. - Ce document est actuellement mis à jour afin de refléter le report annoncé le 27 septembre 2017.
- Plan de secours pour le roulement de la KSK 2017[PDF, 506 KB] - Décrit les déviations prévues par le plan opérationnel de mise en œuvre sur la base d'anomalies survenant lors de l'exécution du plan opérationnel.- Ce document est actuellement mis à jour afin de refléter le report annoncé le 27 septembre 2017.
- Plan d'essai externe du roulement de la KSK 2017[PDF, 516 KB] - Couvre la préparation d'environnements pour le test opérationnel, auxquels le grand public d'Internet peut accéder afin d'évaluer si les systèmes externes sont prêts à participer au roulement de la KSK.
- Plan de surveillance du roulement de la KSK 2017[PDF, 480 KB] - Décrit le plan pour surveiller les effets des variations de l'ancre de confiance de la zone de racine dans le trafic vers les serveurs racine.
- Plan du test des systèmes en vue du roulement de la KSK 2017[PDF, 519 KB] - Décrit les actions nécessaires pour tester les modifications apportées à l'infrastructure de l'ICANN, impliquées dans le roulement de la KSK.
Plan de communication
L'ICANN mène une vaste campagne de sensibilisation dans le but de s'assurer que ceux qui utilisent actuellement la KSK soient au courant des changements.
Archive des actualités
3 octobre 2016 – Le tout début : l'ICANN va générer la nouvelle clé duDNSSec (InfoWorld)
19 septembre 2016 – La clé cryptographique qui sécurise le Web est en train d'être changée pour la première fois (Motherboard)
15 septembre 2016 – L'ICANN prépare le monde du Web à une mise à jour majeure de la sécurité du DNSSEC (V3)
25 août 2016 – Changement de la clé principale du DNSSEC qui assure la sécurité de l'Internet. Y a-t-il de quoi s'inquiéter ? (Techworld)
22 juillet 2016 – DNSSEC : roulement de la clé de signature de clé de la zone racine
20 juillet 2016 – L'ICANN changera la clé secrète de l'Internet (Domain Incite)
21 juin 2016 – Meilleures pratiques de sécurité : validation du DNSSEC
9 mai 2016 – Modification des clés de la zone racine du système des noms de domaine (DNS)