|
|
|||||||
| Afnic Informations sur L'AFNIC. l'Association Française pour le Nommage Internet en Coopération gestionnaire du .fr et .re |
AFNIC: L'AFNIC invite les responsables techniques réseaux à se préparer à la signaturdans le forum Afnic de Extension .fr; Communiqué de presse Saint Quentin en Yvelines, le 28 janvier 2010 À compter de mai 2010, tous les serveurs de ... |
 |
| LinkBack | Outils de la discussion | Modes d'affichage |
28/01/2010, 18h34
|
#1 (permalink) |
|
Administrator
Date d'inscription: mars 2008
Localisation: Domaineur.com
Messages: 1 623
|
AFNIC: L'AFNIC invite les responsables techniques réseaux à se préparer à la signatur
Communiqué de presse
Saint Quentin en Yvelines, le 28 janvier 2010 À compter de mai 2010, tous les serveurs de la racine sur lesquels repose le fonctionnement des noms de domaine, émettront des réponses DNS signées en utilisant le protocole DNSSEC. Cette évolution qui vise à accroître la confiance dans les réponses DNS (en authentifiant leur origine), peut néanmoins provoquer des troubles contre lesquels les administrateurs des réseaux, connectés à l'Internet doivent se prémunir. En effet, un changement de la configuration des serveurs de la racine pourrait aller jusqu’à entraîner un risque de coupure DNS, et par conséquent du service Internet dans certains cas. Conseils de l’AFNIC 1. Vérifiez si votre réseau est concerné par ce potentiel dysfonctionnement ainsi que la fonctionnalité de la résolution DNS, sur une machine où le logiciel dig est installé : dig +short rs.dns-oarc.net txt 2. Vérifiez si la réponse indique plus de 1500 octets, comme ici : "203.0.113.1 DNS reply size limit is at least 4023 bytes" 3. Analysez l’ensemble du réseau et les équipements intermédiaires (pare-feux), puis assurez vous de leur bonne configuration, dans le cas où le test indique que les paquets de plus de 1500 octets ne peuvent pas passer. 4. Autre alternative possible, si vous ne disposez pas d’un client DNS simple comme dig : Cet outil, développé par le RIPE-NCC, nécessite Java. 5. Pour les utilisateurs finaux (dans une entreprise, dans un campus ou abonnés d’un FAI), veuillez vous adresser à votre fournisseur direct d’accès à l’Internet. Contexte technique La racine du DNS est signée avec la technologie DNSSEC. Dans le courant de l'année 2010, les serveurs de la racine commenceront à émettre des réponses signées et ce déploiement s'étalera de janvier à mai prochain. Dès le mois de mai, les 13 serveurs DNS de la racine enverront les informations DNSSEC. Celles-ci, des signatures cryptographiques, sont de taille cinq à dix fois plus importante que les réponses DNS classiques. Elles dépasseront l'ancienne limite de 512 octets du DNS, et parfois même la limite des 1500 octets de la MTU Ethernet (« Maximum Transmit Unit », la plus répandue sur l'Internet). En effet, le RFC 2671 qui étendait la limite des 512 octets a été publié en août 1999, soit il y a plus de dix ans maintenant. Il existe toujours un certain nombre de pare-feux ou d'autres équipements réseaux mal conçus ou mal configurés, qui refusent les réponses DNS de plus de 512 octets. Parmi les équipements qui les acceptent, certains ne gèrent pas correctement la fragmentation des paquets IP (par exemple, car ils bloquent tous les paquets ICMP) et ne peuvent donc pas recevoir des paquets DNS de taille supérieure à la MTU, en général 1500 octets. Certains des réseaux qui rejettent les paquets DNS de plus de 512 octets, ou même seulement ceux de plus de 1500 octets, ne pourront plus « parler » à la racine du DNS après mai 2010 (en effet, ils ne recevront plus les réponses) et n'auront donc quasiment plus d'accès Internet en pratique. Glossaire : DNS : http://fr.wikipedia.org/wiki/Domain_Name_System DNSSEC : http://fr.wikipedia.org/wiki/Domain_...ity_Extensions ICMP : http://fr.wikipedia.org/wiki/Interne...ssage_Protocol MTU : http://fr.wikipedia.org/wiki/Maximum_Transmission_Unit RACINE : ensemble de serveurs répartis dans le monde et sur lesquels repose le bon fonctionnement des noms de domaine, ces serveurs jouant un rôle clef dans l'orientation des requêtes vers les serveurs de noms pertinents pour les domaines de premier niveau (Top-Level Domains) tels que le .fr ou le .com. Quelques références utiles : - L'annonce du plan de signature de la racine - Le site officiel du projet de signature , avec le calendrier de déploiement - Les instructions d'un serveur racine - Votre serveur DNS peut-il faire passer des paquets de toutes les tailles ? - Une liste de diffusion francophone sur le DNS, où vous pouvez solliciter de l'aide de vos pairs  (Association Française pour le Nommage Internet en Coopération) Association à but non lucratif, l'AFNIC est l'organisme chargé de la gestion administrative et technique des noms de domaine .fr et .re, suffixes internet correspondant à la France et à l'Île de la Réunion. L'AFNIC est composée d'acteurs publics et privés : représentants des pouvoirs publics, utilisateurs et prestataires de services Internet (bureaux d'enregistrement). En savoir plus  Pour en lire plus... Source site de l'afnic.fr (Association Française pour le Nommage Internet en Coopération) Titre:L'AFNIC invite les responsables techniques réseaux à se préparer à la signature de la racine DNS en mai 2010 |
|
    
|
| Sponsored Links |
|
| Bookmarks |
| Tags |
| .fr, afnic |
| Outils de la discussion | |
| Modes d'affichage | |
|
|
|
||||
| Discussion | Auteur | Forum | Réponses | Dernier message |
| AFNIC: Le Directeur Général de l'AFNIC élu Président du CENTR - Afnic.fr | TechAdmin | Afnic | 0 | 26/02/2010 16h40 |
| AFNIC: L'AFNIC invite les responsables techniques réseaux à se préparer à la signatur | TechAdmin | Afnic | 0 | 28/01/2010 17h30 |
| AFNIC: L'AFNIC déploie son propre nuage anycast - Afnic.fr | TechAdmin | Afnic | 0 | 26/01/2010 19h30 |
| AFNIC: L'AFNIC déploie son propre nuage anycast - Afnic.fr | TechAdmin | Afnic | 0 | 26/01/2010 18h21 |
| AFNIC: Les comités de concertation précisent le plan d'action 2010 de l'AFNIC - Afnic | TechAdmin | Afnic | 0 | 07/11/2009 20h26 |
Mode linéaire
