Basculement des serveurs DNS Racine ! (2)
Un peu plus d'infos...
L'AFNIC invite les responsables techniques réseaux à se préparer à la signature de la racine DNS en mai 2010 Publié dans: Communiqué de presse Saint Quentin en Yvelines, le 28 janvier 2010
À compter de mai 2010, tous les serveurs de la racine sur lesquels repose le fonctionnement des noms de domaine, émettront des réponses DNS signées en utilisant le protocole DNSSEC.
Cette évolution qui vise à accroître la confiance dans les réponses DNS (en authentifiant leur origine), peut néanmoins provoquer des troubles contre lesquels les administrateurs des réseaux, connectés à l'Internet doivent se prémunir.
Communiqué de l'AFNIC :
En effet, un changement de la configuration des serveurs de la racine pourrait aller jusqu'à entraîner un risque de coupure DNS, et par conséquent du service Internet dans certains cas.
Conseils de l'AFNIC
1. Vérifiez si votre réseau est concerné par ce potentiel dysfonctionnement ainsi que la fonctionnalité de la résolution DNS, sur une machine où le logiciel dig est installé :
dig +short rs.dns-oarc.net txt
2. Vérifiez si la réponse indique plus de 1500 octets, comme ici :
203.0.113.1 DNS reply size limit is at least 4023 bytes
3. Analysez l'ensemble du réseau et les équipements intermédiaires (pare-feux), puis assurez vous de leur bonne configuration, dans le cas où le test indique que les paquets de plus de 1500 octets ne peuvent pas passer.
4. Autre alternative possible, si vous ne disposez pas d'un client DNS simple comme dig : <http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues>
Cet outil, développé par le RIPE-NCC, nécessite Java.
5. Pour les utilisateurs finaux (dans une entreprise, dans un campus ou abonnés d'un FAI), veuillez vous adresser à votre fournisseur direct d'accès à l'internet.
