Zone racine du DNS
La zone racine du DNS (en anglais, DNS root zone) est la zone DNS de plus haut niveau dans l'espace de noms hiérarchique du système de noms de domaine (DNS) de l'Internet.
Avant le 1er octobre 2016, la zone racine du DNS était supervisée par l'Internet Corporation for Assigned Names and Numbers (ICANN) qui en déléguait la gestion à une filiale, l'Internet Assigned Numbers Authority (IANA)[1].
Les services de distribution sont fournis par Verisign. Auparavant, l'ICANN assumait la responsabilité de la gestion sous la surveillance de la National Telecommunications and Information Administration (NTIA), une agence du département du Commerce des États-Unis[2]. La responsabilité de la surveillance a été transférée à la communauté mondiale des parties prenantes représentée au sein des structures de gouvernance de l'ICANN.
Une combinaison de limites dans la définition du DNS et dans certains protocoles, notamment la taille pratique des paquets UDP (User Datagram Protocol) non fragmentés, a abouti à un maximum pratique de 13 adresses de serveurs racines du DNS qui peuvent être prises en compte dans les réponses aux requêtes de noms DNS. Cependant, la zone racine est desservie par plusieurs centaines de serveurs répartis sur plus de 130 sites dans de nombreux pays[3] - [4].
Initialisation du service DNS
La zone racine du DNS est desservie par treize grappes de serveurs racines du DNS qui font autorité pour les requêtes aux domaines de premier niveau de l'Internet[5] - [6]. Ainsi, chaque résolution de nom commence par une requête à un serveur racine ou utilise des informations qui ont été obtenues d'un serveur racine.
Les grappes de serveurs racines ont les noms officiels a.root-servers.net à m.root-servers.net[6]. Pour résoudre ces noms en adresses, un résolveur DNS doit d'abord trouver un serveur faisant autorité pour la zone .net. Pour éviter cette dépendance circulaire, l'adresse d'au moins un serveur racine doit être connue pour amorcer l'accès au DNS.
À cette fin, les systèmes d'exploitation ou les progiciels de serveur ou de résolveur DNS incluent généralement un fichier contenant toutes les adresses des serveurs racines DNS. Même si les adresses IP de certains serveurs racines changent, il en suffit d'un seul pour récupérer la liste actuelle de tous les serveurs de noms. Ce fichier d'adresses est appelé named.cache dans l'implémentation de référence du serveur de noms BIND. La version officielle actuelle est distribuée par l'InterNIC de l'ICANN[7].
En résumé, avec l'adresse d'un seul serveur racine fonctionnel, toutes les autres informations DNS peuvent être découvertes de manière récursive, et les informations sur n'importe quel nom de domaine peuvent être trouvées.
Redondance et diversité
Les serveurs racines du DNS sont essentiels au fonctionnement de l'Internet, car la plupart des services Internet, tels que le World Wide Web et le courrier électronique, sont basés sur des noms de domaine. Les serveurs DNS sont des points de défaillance potentiels pour l'ensemble de l'Internet. C'est pourquoi plusieurs serveurs racines sont répartis dans le monde entier[8].
La taille du paquet DNS de 512 octets limite une réponse DNS à treize adresses, jusqu'à ce que des extensions du protocole (voir Mécanismes d'extension pour le DNS) lèvent cette restriction[9]. Bien qu'il soit possible de faire tenir plus d'entrées dans un paquet de cette taille en utilisant la compression des adresses, treize a été choisi comme limite fiable. Depuis l'introduction d'IPv6, le protocole Internet qui succède à IPv4, les pratiques antérieures sont modifiées et un espace supplémentaire est occupé par les serveurs de noms IPv6.
Les serveurs racines sont hébergés dans plusieurs sites sécurisés disposant d'un accès à large bande pour faire face à la charge de trafic. Au début, toutes ces installations étaient situées aux États-Unis ; cependant, la répartition a évolué et ce n'est plus le cas[10]. Habituellement, chaque installation de serveur DNS sur un site donné est une grappe d'ordinateurs avec des routeurs d'équilibrage de charge[9]. Une liste complète des serveurs, de leurs emplacements et de leurs propriétés est disponible sur https://root-servers.org/. En janvier 2022, il y avait 1489 serveurs racines dans le monde[11].
La tendance moderne consiste à utiliser l'adressage et le routage anycast pour assurer la résilience et l'équilibrage de la charge sur une vaste zone géographique. Par exemple, le serveur j.root-servers.net, maintenu par Verisign, est représenté par 104 (en janvier 2016) serveurs individuels situés dans le monde entier, qui peuvent être interrogés en utilisant l'adressage anycast[12].
Gestion
Le contenu du fichier de la zone racine du DNS est coordonné par une filiale de l'ICANN qui exerce les fonctions d'Internet Assigned Numbers Authority (IANA). Verisign génère et distribue le fichier de zone aux différents opérateurs de serveurs racines.
En 1997, lorsque l'Internet est passé du contrôle du gouvernement américain à des mains privées, la National Telecommunications and Information Administration des États-Unis (NTIA) exerçait l'intendance sur la zone racine. En 1998, un document du département du commerce indiquait que l'agence était « engagée dans une transition qui permettra au secteur privé de prendre la direction de la gestion du DNS » d'ici l'an 2000, mais aucune mesure n'a été prise pour réaliser cette transition. En mars 2014, la NTIA a annoncé qu'elle allait confier la gestion du DNS à une « communauté mondiale de parties prenantes »[5].
Selon le secrétaire adjoint au commerce chargé des communications et de l'information, Lawrence E. Strickling, mars 2014 était le bon moment pour entamer une transition de ce rôle vers la communauté Internet mondiale. Cette décision fut annoncée après les pressions exercées à la suite des révélations sur la surveillance exercée par les États-Unis et leurs alliés. Le président du conseil d'administration de l'ICANN a cependant nié que les deux événements étaient liés, et a déclaré que le processus de transition était en cours depuis longtemps. Le président de l'ICANN, Fadi Chehadé, a qualifié cette décision d'historique et a déclaré que l'ICANN s'orientera vers un contrôle multipartite. Diverses personnalités de l'histoire de l'Internet, non affiliées à l'ICANN, ont applaudi cette initiative[5].
L'annonce de la NTIA n'a pas eu d'effet immédiat sur la façon dont l'ICANN remplit son rôle[5] - [13]. Le 11 mars 2016, la NTIA a annoncé qu'elle avait reçu une proposition de plan pour la transition de son rôle d'intendance sur la zone racine, et qu'elle l'examinerait dans les 90 prochains jours[14].
La proposition a été adoptée et le contrat renouvelé de l'ICANN pour l'exécution de la fonction IANA est arrivé à échéance le 30 septembre 2016, ce qui a entraîné la transition de la responsabilité de surveillance vers la communauté mondiale des parties prenantes représentée au sein des structures de gouvernance de l'ICANN. Dans le cadre du plan de transition[15], l'ICANN a créé une nouvelle filiale appelée Public Technical Identifiers (PTI) afin de remplir les fonctions de l'IANA, notamment la gestion de la zone racine du DNS.
Signature de la zone racine
Depuis juillet 2010, la zone racine est signée avec une signature DNSSEC[16], fournissant une ancre de confiance unique pour le système de noms de domaine qui peut à son tour être utilisée pour fournir une ancre de confiance pour d'autres infrastructures à clés publiques (PKI). La section DNSKEY de la zone racine est resignée périodiquement avec la clé de signature de la zone racine effectuée de manière vérifiable devant des témoins lors d'une cérémonie de signature de clé[17] - [18]. La KSK2017 avec l'ID 20326 est valide à partir de 2020.
Références
- (en) « Stewardship of IANA Functions Transitions to Global Internet Community as Contract with U.S. Government Ends », ICANN Announcements, (lire en ligne, consulté le )
- Jerry Brito, « ICANN vs. the World », TIME, (lire en ligne [archive du ], consulté le )
- (en) « There are not 13 root servers », sur www.icann.org (consulté le )
- (en-US) « DNS root servers in the world « stupid.domain.name », sur stupid.domain.name (consulté le )
- (en) Cyrus Farivar, « In sudden announcement, US to give up control of DNS root zone », Ars Technica, (lire en ligne, consulté le )
- « Root Servers », IANA (consulté le )
- « named.cache », InterNIC, (consulté le )
- « SANS Institute InfoSec Reading Room », SANS (consulté le )
- Bradley Mitchell, « Why There Are Only 13 DNS Root Name Servers », About.com, (consulté le )
- « DNS Root Servers: The most critical infrastructure on the internet », Slash Root,
- « Root Servers Technical Operations Assn » [archive du ] (consulté le )
- « Root Server Technical Operations Assn »
- « An Update on the IANA Transition », National Telecommunications and Information Administration, (consulté le )
- Lawrence Strickling, « Reviewing the IANA Transition Proposal », sur National Telecommunications and Information Administration, United States Department of Congress (consulté le )
- « Proposal to Transition the Stewardship of the Internet Assigned Numbers Authority (IANA) Functions from the U.S. Commerce Department’s National Telecommunications and Information Administration (NTIA) to the Global Multistakeholder Community »,
- « Root DNSSEC: Information about DNSSEC for the Root Zone », Internet Corporation For Assigned Names and Numbers (consulté le )
- « First KSK Ceremony » [archive du ], Internet Corporation For Assigned Names and Numbers, (consulté le )
- « Root KSK Ceremonies », Internet Assigned Numbers Authority, (consulté le )