Cette évolution qui vise à accroître la confiance dans les réponses DNS (en authentifiant leur origine), peut néanmoins provoquer des troubles contre lesquels les administrateurs des réseaux, connectés à l’Internet doivent se prémunir.
En effet, un changement de la configuration des serveurs de la racine pourrait aller jusqu’à entraîner un risque de coupure DNS, et par conséquent du service Internet dans certains cas.
Conseils de l’AFNIC
1. Vérifiez si votre réseau est concerné par ce potentiel dysfonctionnement ainsi que la fonctionnalité de la résolution DNS, sur une machine où le logiciel dig est installé :
dig +short rs.dns-oarc.net txt
2. Vérifiez si la réponse indique plus de 1500 octets, comme ici :
« 203.0.113.1 DNS reply size limit is at least 4023 bytes »
3. Analysez l’ensemble du réseau et les équipements intermédiaires (pare-feux), puis assurez vous de leur bonne configuration, dans le cas où le test indique que les paquets de plus de 1500 octets ne peuvent pas passer.
4. Autre alternative possible, si vous ne disposez pas d’un client DNS simple comme dig :
Cet outil, développé par le RIPE-NCC, nécessite Java.
5. Pour les utilisateurs finaux (dans une entreprise, dans un campus ou abonnés d’un FAI), veuillez vous adresser à votre fournisseur direct d’accès à l’Internet.
Contexte technique
La racine du DNS est signée avec la technologie DNSSEC. Dans le courant de l’année 2010, les serveurs de la racine commenceront à émettre des réponses signées et ce déploiement s’étalera de janvier à mai prochain. Dès le mois de mai, les 13 serveurs DNS de la racine enverront les informations DNSSEC. Celles-ci, des signatures cryptographiques, sont de taille cinq à dix fois plus importante que les réponses DNS classiques. Elles dépasseront l’ancienne limite de 512 octets du DNS, et parfois même la limite des 1500 octets de la MTU Ethernet (« Maximum Transmit Unit », la plus répandue sur l’Internet).
En effet, le RFC 2671 qui étendait la limite des 512 octets a été publié en août 1999, soit il y a plus de dix ans maintenant. Il existe toujours un certain nombre de pare-feux ou d’autres équipements réseaux mal conçus ou mal configurés, qui refusent les réponses DNS de plus de 512 octets.
Parmi les équipements qui les acceptent, certains ne gèrent pas correctement la fragmentation des paquets IP (par exemple, car ils bloquent tous les paquets ICMP) et ne peuvent donc pas recevoir des paquets DNS de taille supérieure à la MTU, en général 1500 octets.
Certains des réseaux qui rejettent les paquets DNS de plus de 512 octets, ou même seulement ceux de plus de 1500 octets, ne pourront plus « parler » à la racine du DNS après mai 2010 (en effet, ils ne recevront plus les réponses) et n’auront donc quasiment plus d’accès Internet en pratique.
Glossaire :
DNS : http://fr.wikipedia.org/wiki/Domain_Name_System
DNSSEC : http://fr.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
ICMP : http://fr.wikipedia.org/wiki/Internet_Control_Message_Protocol
MTU : http://fr.wikipedia.org/wiki/Maximum_Transmission_Unit
RACINE : ensemble de serveurs répartis dans le monde et sur lesquels repose le bon fonctionnement des noms de domaine, ces serveurs jouant un rôle clef dans l’orientation des requêtes vers les serveurs de noms pertinents pour les domaines de premier niveau (Top-Level Domains) tels que le .fr ou le .com.
Quelques références utiles :
– L’annonce du plan de signature de la racine
– Le site officiel du projet de signature
– Les instructions d’un serveur racine
– Votre serveur DNS peut-il faire passer des paquets de toutes les tailles ?
– Une liste de diffusion francophone sur le DNS, où vous pouvez solliciter de l’aide de vos pairs
À propos de l’AFNIC
(Association Française pour le Nommage Internet en Coopération)
Association à but non lucratif, l’AFNIC est l’organisme chargé de la gestion administrative et technique des noms de domaine .fr et .re, suffixes internet correspondant à la France et à l’Île de la Réunion.
L’AFNIC est composée d’acteurs publics et privés : représentants des pouvoirs publics, utilisateurs et prestataires de services Internet (bureaux d’enregistrement).
En savoir plus
À propos de l'Afnic
L’Afnic est l’Association Française pour le Nommage Internet en Coopération. Elle est l’office d’enregistrement désigné par l’État pour la gestion des noms de domaine en .fr. L’Afnic gère également les extensions ultramarines .re (Île de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques Françaises), .wf (Wallis et Futuna) et .yt (Mayotte).
Outre la gestion des extensions françaises de l’internet, le rôle de l’Afnic s’inscrit dans une mission d’intérêt général plus large, qui consiste à contribuer au quotidien, grâce aux efforts de ses équipes et de ses membres, à un internet sûr et stable, ouvert aux innovations et où la communauté internet française joue un rôle de premier plan. Ainsi, l’Afnic, association à but non lucratif, s’engage à verser annuellement 11 % de son Chiffre d’Affaires lié aux activités du .fr à des actions d’intérêt général, en affectant notamment 1,3 million d’Euros minimum chaque année à la Fondation Afnic pour la Solidarité numérique.
L’Afnic est également l’opérateur technique de registre d’entreprises et collectivités ayant choisi d’avoir leur propre extension, telle que .paris, .bzh, .alsace, .corsica, .mma, .ovh, .leclerc ou .sncf.
Fondée en 1997 et basée à Saint-Quentin-en-Yvelines, l’Afnic compte aujourd’hui près de 90 collaborateurs.