Les serveurs DNS régionaux ''arcturus.ciril.fr'' et ''orion.ciril.fr'' supportent DNSSEC et vérifient les enregistrements DNSSEC depuis le 19 juillet 2010
Les changements annoncés
Depuis le 15 juillet 2010, l'ensemble des serveurs racines du DNS supportent DNSSEC : http://www.root-dnssec.org/2010/07/16/status-update-2010-07-16.
La zone racine (le ".") est désormais signée et les délégations des clés de signature (champs "DS") pour les TLDs inférieurs (".fr" "193.in-addr.arpa", ...) sont maintenant possibles.
Depuis le 19 juillet 2010, nous avons activé sur les serveurs DNS régionaux arcturus.ciril.fr et orion.ciril.fr la vérification et la validation des informations DNSSEC quand elles sont disponibles. Ainsi, on peut considérer que les informations retournées par les DNS régionaux sont "authentiques" et "validées" quand elles utilisent DNSSEC. La description du service DNS explique plus en détails ces problématiques DNSSEC.
L'ensemble des postes clients et des serveurs présents sur Lothaire qui utilisent comme serveurs récursifs (résolveurs) les DNS régionaux arcturus.ciril.fr et orion.ciril.fr bénéficient donc de ces vérifications DNSSEC et de cette avancée de sécurité au niveau du système DNS mondial.
Quelques exemples
Dans l'exemple suivant, on récupère les serveurs "NS" de la zone ".". La présence du flags ad (Authentic Data) confirme que l'information est authentique : l'information a été signée et la vérification de la signature est correcte.
dig +dnssec . @arcturus.ciril.fr ; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec . NS @arcturus.ciril.fr ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25430 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 14, AUTHORITY: 0, ADDITIONAL: 14 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;. IN NS ;; ANSWER SECTION: . 428430 IN NS h.root-servers.net. . 428430 IN NS g.root-servers.net. . 428430 IN NS a.root-servers.net. . 428430 IN NS i.root-servers.net. . 428430 IN NS e.root-servers.net. . 428430 IN NS j.root-servers.net. . 428430 IN NS m.root-servers.net. . 428430 IN NS d.root-servers.net. . 428430 IN NS l.root-servers.net. . 428430 IN NS f.root-servers.net. . 428430 IN NS k.root-servers.net. . 428430 IN NS b.root-servers.net. . 428430 IN NS c.root-servers.net. . 482493 IN RRSIG NS 8 0 [...] ;; ADDITIONAL SECTION: a.root-servers.net. 599480 IN A 198.41.0.4 b.root-servers.net. 599480 IN A 192.228.79.201 c.root-servers.net. 599480 IN A 192.33.4.12 d.root-servers.net. 599480 IN A 128.8.10.90 e.root-servers.net. 599480 IN A 192.203.230.10 f.root-servers.net. 599480 IN A 192.5.5.241 g.root-servers.net. 599480 IN A 192.112.36.4 h.root-servers.net. 599480 IN A 128.63.2.53 i.root-servers.net. 599480 IN A 192.36.148.17 j.root-servers.net. 599480 IN A 192.58.128.30 k.root-servers.net. 599475 IN A 193.0.14.129 l.root-servers.net. 599465 IN A 199.7.83.42 m.root-servers.net. 599470 IN A 202.12.27.33 ;; Query time: 2 msec ;; SERVER: 193.50.27.66#53(193.50.27.66) ;; WHEN: Tue Jul 20 09:59:30 2010 ;; MSG SIZE rcvd: 605
Au niveau TLD, des zones telles que ".uk", ".cz", ".tm", ... sont maintenant signées et la chaîne de délégation des clés DNSSEC est maintenant présente dans les serveurs racines :
dig +dnssec +noadditional +noauthority uk. DS @a.root-servers.net ; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec +noadditional +noauthority uk. DS @a.root-servers.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29177 ;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 14, ADDITIONAL: 22 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;uk. IN DS ;; ANSWER SECTION: uk. 172800 IN DS 15191 8 2 [...] uk. 172800 IN RRSIG DS 8 1 [...] ;; Query time: 89 msec ;; SERVER: 198.41.0.4#53(198.41.0.4) ;; WHEN: Tue Jul 20 10:17:53 2010 ;; MSG SIZE rcvd: 1039 dig +dnssec +noadditional +noauthority uk. NS @arcturus.ciril.fr ; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec +noadditional +noauthority uk. NS @arcturus.ciril.fr ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55144 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 12, AUTHORITY: 0, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;uk. IN NS ;; ANSWER SECTION: uk. 169300 IN NS ns6.nic.uk. uk. 169300 IN NS nsa.nic.uk. uk. 169300 IN NS ns2.nic.uk. uk. 169300 IN NS ns7.nic.uk. uk. 169300 IN NS ns5.nic.uk. uk. 169300 IN NS ns3.nic.uk. uk. 169300 IN NS ns4.nic.uk. uk. 169300 IN NS ns1.nic.uk. uk. 169300 IN NS nsb.nic.uk. uk. 169300 IN NS nsd.nic.uk. uk. 169300 IN NS nsc.nic.uk. uk. 169300 IN RRSIG NS 8 1 [...] ;; Query time: 1 msec ;; SERVER: 193.50.27.66#53(193.50.27.66) ;; WHEN: Tue Jul 20 10:19:58 2010 ;; MSG SIZE rcvd: 411