AFNIC : attention à la racine DNS !

Par:
francoistonic

jeu, 28/01/2010 - 18:34

Dès mai prochain, tous les serveurs de la racine sur lesquels reposent le fonctionnement des noms de domaine devront émettre des réponses DNS signés, selon le protocole DNSSEC. Cette modification, importante pour le réseau, doit fournir une meilleure sécurité et authentification. Mais l’afnic soulève aussi un problème gênant : les risques de coupure de connexion DNS ! Ainsi l’Afnic conseille vivement de vérifiersi son réseau est potentiellement concerné , vérifier si la réponse dépasse 1500 octets, analyser l’ensemble du réseau et les équipements de type pare-feux. Les tests peuvent se faire avec l’outil dig… Il faudra aussi surveiller le comportenent des serveurs web (ceux des fournisseurs). 
Techniquement, la racine du DNS sera signée par DNSSEC. Il s’agit donc d’une signature cryptée d’une taille de 5 à 10 fois plus grosses que les réponses DNS actuelles, pouvant dépasser la limite haute des 1500 octets.