- Vue d’ensemble
- Une requête DNS suit le chemin client → recursive resolver (RR) → serveur racine → serveur TLD → DNS faisant autorité
- Ici, la confiance dans les couches racine et TLD est maintenue par une signature fondée sur des clés
- Ce document examine en détail selon quelle procédure la mise à jour est effectuée lors de la cérémonie de signature de la racine
- Contenu
- Le DNSSEC de la racine utilise deux types de clés
- KSK (Key Signing Key) : clé de signature de niveau supérieur qui signe l’ensemble des DNSKEY
- ZSK (Zone Signing Key) : clé qui signe les enregistrements de chaque zone (
zone)
- Le KSK faisait l’objet d’un rollover tous les 7 ans, mais il est désormais prévu qu’il soit renouvelé une fois tous les 3 ans
- Le ZSK est renouvelé tous les 3 mois
- Pour cela, sous la supervision de l’ICANN, la cérémonie de signature de la racine se déroule avec plusieurs responsables de la sécurité et une authentification multiple basée sur des HSM, et son déroulement est diffusé en direct sur YouTube
- Les documents utilisés lors de la cérémonie, la vérification des checksums, les journaux publics et la vidéo enregistrée sont ensuite partagés publiquement
- Conclusion
- Grâce à ce processus transparent, le DNS racine, au cœur de la confiance au plus haut niveau de l’Internet, est maintenu par une intégrité cryptographique et un modèle de confiance
Aucun commentaire pour le moment.