AFNIC: L'AFNIC invite les responsables techniques réseaux à se préparer à la signatur

TechAdmin · 28/01/2010, 17h34

Communiqué de presse
Saint Quentin en Yvelines, le 28 janvier 2010

À compter de mai 2010, tous les serveurs de la racine sur lesquels repose le fonctionnement des noms de domaine, émettront des réponses DNS signées en utilisant le protocole DNSSEC.

Cette évolution qui vise à accroître la confiance dans les réponses DNS (en authentifiant leur origine), peut néanmoins provoquer des troubles contre lesquels les administrateurs des réseaux, connectés à l'Internet doivent se prémunir.

En effet, un changement de la configuration des serveurs de la racine pourrait aller jusqu’à entraîner un risque de coupure DNS, et par conséquent du service Internet dans certains cas.

Conseils de l’AFNIC

1. Vérifiez si votre réseau est concerné par ce potentiel dysfonctionnement ainsi que la fonctionnalité de la résolution DNS, sur une machine où le logiciel dig est installé :

dig +short rs.dns-oarc.net txt
2. Vérifiez si la réponse indique plus de 1500 octets, comme ici :

"203.0.113.1 DNS reply size limit is at least 4023 bytes"

3. Analysez l’ensemble du réseau et les équipements intermédiaires (pare-feux), puis assurez vous de leur bonne configuration, dans le cas où le test indique que les paquets de plus de 1500 octets ne peuvent pas passer.

4. Autre alternative possible, si vous ne disposez pas d’un client DNS simple comme dig :

Cet outil, développé par le RIPE-NCC, nécessite Java.

5. Pour les utilisateurs finaux (dans une entreprise, dans un campus ou abonnés d’un FAI), veuillez vous adresser à votre fournisseur direct d’accès à l’Internet.

Contexte technique

La racine du DNS est signée avec la technologie DNSSEC. Dans le courant de l'année 2010, les serveurs de la racine commenceront à émettre des réponses signées et ce déploiement s'étalera de janvier à mai prochain. Dès le mois de mai, les 13 serveurs DNS de la racine enverront les informations DNSSEC. Celles-ci, des signatures cryptographiques, sont de taille cinq à dix fois plus importante que les réponses DNS classiques. Elles dépasseront l'ancienne limite de 512 octets du DNS, et parfois même la limite des 1500 octets de la MTU Ethernet (« Maximum Transmit Unit », la plus répandue sur l'Internet).

En effet, le RFC 2671 qui étendait la limite des 512 octets a été publié en août 1999, soit il y a plus de dix ans maintenant. Il existe toujours un certain nombre de pare-feux ou d'autres équipements réseaux mal conçus ou mal configurés, qui refusent les réponses DNS de plus de 512 octets.

Parmi les équipements qui les acceptent, certains ne gèrent pas correctement la fragmentation des paquets IP (par exemple, car ils bloquent tous les paquets ICMP) et ne peuvent donc pas recevoir des paquets DNS de taille supérieure à la MTU, en général 1500 octets.

Certains des réseaux qui rejettent les paquets DNS de plus de 512 octets, ou même seulement ceux de plus de 1500 octets, ne pourront plus « parler » à la racine du DNS après mai 2010 (en effet, ils ne recevront plus les réponses) et n'auront donc quasiment plus d'accès Internet en pratique.

Glossaire :
DNS : http://fr.wikipedia.org/wiki/Domain_Name_System
DNSSEC : http://fr.wikipedia.org/wiki/Domain_...ity_Extensions
ICMP : http://fr.wikipedia.org/wiki/Interne...ssage_Protocol
MTU : http://fr.wikipedia.org/wiki/Maximum_Transmission_Unit

RACINE : ensemble de serveurs répartis dans le monde et sur lesquels repose le bon fonctionnement des noms de domaine, ces serveurs jouant un rôle clef dans l'orientation des requêtes vers les serveurs de noms pertinents pour les domaines de premier niveau (Top-Level Domains) tels que le .fr ou le .com.

Quelques références utiles :
- L'annonce du plan de signature de la racine

- Le site officiel du projet de signature
, avec le calendrier de déploiement
- Les instructions d'un serveur racine

- Votre serveur DNS peut-il faire passer des paquets de toutes les tailles ?

- Une liste de diffusion francophone sur le DNS, où vous pouvez solliciter de l'aide de vos pairs

À propos de l'AFNIC

(Association Française pour le Nommage Internet en Coopération)

Association à but non lucratif, l'AFNIC est l'organisme chargé de la gestion administrative et technique des noms de domaine .fr et .re, suffixes internet correspondant à la France et à l'Île de la Réunion.
L'AFNIC est composée d'acteurs publics et privés : représentants des pouvoirs publics, utilisateurs et prestataires de services Internet (bureaux d'enregistrement).
En savoir plus

Pour en lire plus...

Source site de l'afnic.fr (Association Française pour le Nommage Internet en Coopération)

Titre:L'AFNIC invite les responsables techniques réseaux à se préparer à la signature de la racine DNS en mai 2010

28/01/2010, 17h34	#1 (permalink)
TechAdmin Administrator Date d'inscription: mars 2008 Localisation: Domaineur.com Messages: 2 190	AFNIC: L'AFNIC invite les responsables techniques réseaux à se préparer à la signatur Communiqué de presse Saint Quentin en Yvelines, le 28 janvier 2010 À compter de mai 2010, tous les serveurs de la racine sur lesquels repose le fonctionnement des noms de domaine, émettront des réponses DNS signées en utilisant le protocole DNSSEC. Cette évolution qui vise à accroître la confiance dans les réponses DNS (en authentifiant leur origine), peut néanmoins provoquer des troubles contre lesquels les administrateurs des réseaux, connectés à l'Internet doivent se prémunir. En effet, un changement de la configuration des serveurs de la racine pourrait aller jusqu’à entraîner un risque de coupure DNS, et par conséquent du service Internet dans certains cas. Conseils de l’AFNIC 1. Vérifiez si votre réseau est concerné par ce potentiel dysfonctionnement ainsi que la fonctionnalité de la résolution DNS, sur une machine où le logiciel dig est installé : dig +short rs.dns-oarc.net txt 2. Vérifiez si la réponse indique plus de 1500 octets, comme ici : "203.0.113.1 DNS reply size limit is at least 4023 bytes" 3. Analysez l’ensemble du réseau et les équipements intermédiaires (pare-feux), puis assurez vous de leur bonne configuration, dans le cas où le test indique que les paquets de plus de 1500 octets ne peuvent pas passer. 4. Autre alternative possible, si vous ne disposez pas d’un client DNS simple comme dig : Cet outil, développé par le RIPE-NCC, nécessite Java. 5. Pour les utilisateurs finaux (dans une entreprise, dans un campus ou abonnés d’un FAI), veuillez vous adresser à votre fournisseur direct d’accès à l’Internet. Contexte technique La racine du DNS est signée avec la technologie DNSSEC. Dans le courant de l'année 2010, les serveurs de la racine commenceront à émettre des réponses signées et ce déploiement s'étalera de janvier à mai prochain. Dès le mois de mai, les 13 serveurs DNS de la racine enverront les informations DNSSEC. Celles-ci, des signatures cryptographiques, sont de taille cinq à dix fois plus importante que les réponses DNS classiques. Elles dépasseront l'ancienne limite de 512 octets du DNS, et parfois même la limite des 1500 octets de la MTU Ethernet (« Maximum Transmit Unit », la plus répandue sur l'Internet). En effet, le RFC 2671 qui étendait la limite des 512 octets a été publié en août 1999, soit il y a plus de dix ans maintenant. Il existe toujours un certain nombre de pare-feux ou d'autres équipements réseaux mal conçus ou mal configurés, qui refusent les réponses DNS de plus de 512 octets. Parmi les équipements qui les acceptent, certains ne gèrent pas correctement la fragmentation des paquets IP (par exemple, car ils bloquent tous les paquets ICMP) et ne peuvent donc pas recevoir des paquets DNS de taille supérieure à la MTU, en général 1500 octets. Certains des réseaux qui rejettent les paquets DNS de plus de 512 octets, ou même seulement ceux de plus de 1500 octets, ne pourront plus « parler » à la racine du DNS après mai 2010 (en effet, ils ne recevront plus les réponses) et n'auront donc quasiment plus d'accès Internet en pratique. Glossaire : DNS : http://fr.wikipedia.org/wiki/Domain_Name_System DNSSEC : http://fr.wikipedia.org/wiki/Domain_...ity_Extensions ICMP : http://fr.wikipedia.org/wiki/Interne...ssage_Protocol MTU : http://fr.wikipedia.org/wiki/Maximum_Transmission_Unit RACINE : ensemble de serveurs répartis dans le monde et sur lesquels repose le bon fonctionnement des noms de domaine, ces serveurs jouant un rôle clef dans l'orientation des requêtes vers les serveurs de noms pertinents pour les domaines de premier niveau (Top-Level Domains) tels que le .fr ou le .com. Quelques références utiles : - L'annonce du plan de signature de la racine - Le site officiel du projet de signature , avec le calendrier de déploiement - Les instructions d'un serveur racine - Votre serveur DNS peut-il faire passer des paquets de toutes les tailles ? - Une liste de diffusion francophone sur le DNS, où vous pouvez solliciter de l'aide de vos pairs À propos de l'AFNIC (Association Française pour le Nommage Internet en Coopération) Association à but non lucratif, l'AFNIC est l'organisme chargé de la gestion administrative et technique des noms de domaine .fr et .re, suffixes internet correspondant à la France et à l'Île de la Réunion. L'AFNIC est composée d'acteurs publics et privés : représentants des pouvoirs publics, utilisateurs et prestataires de services Internet (bureaux d'enregistrement). En savoir plus Pour en lire plus... Source site de l'afnic.fr (Association Française pour le Nommage Internet en Coopération) Titre:L'AFNIC invite les responsables techniques réseaux à se préparer à la signature de la racine DNS en mai 2010

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email
Modes d'affichage
Mode linéaire Choisir le mode hybride Choisir le mode arborescent

Discussions similaires
Discussion	Auteur	Forum	Réponses	Dernier message
AFNIC: L'AFNIC lance une consultation publique sur l'ouverture du .fr à l'Europe - Afnic.f	TechAdmin	Afnic	0	12/07/2010 13h45
AFNIC: Internet des Objets : point d'étape des travaux R&D de l'AFNIC - Afnic.fr	TechAdmin	Afnic	0	18/06/2010 15h49
AFNIC: Internet des Objets : point d'étape des travaux R&D de l'AFNIC - Afnic.fr	TechAdmin	Afnic	0	18/06/2010 15h27
AFNIC: L'AFNIC invite les responsables techniques réseaux à se préparer à la signatur	TechAdmin	Afnic	0	28/01/2010 16h30
AFNIC: Les comités de concertation précisent le plan d'action 2010 de l'AFNIC - Afnic	TechAdmin	Afnic	0	07/11/2009 19h26

AFNIC: L'AFNIC invite les responsables techniques réseaux à se préparer à la signatur

Discussions similaires