Juillet 2010 : Quand les root-servers auront fini la migration vers DNSSEC

« En juillet 2010, tous les serveurs de noms de la racine diffuseront des réponses cinq à dix fois plus grandes qu’aujourd’hui. Dans certains cas, cela pourra entrainer une coupure quasi-complète de votre accès à l’Internet. »

Han ! Si ca c’est pas de l’accroche. C’est ce qu’annonce Stephane Bortzmeyer Ingénieur réseau chez l’AFNIC. Je continue de citer son mail sur FRNOG :

La racine du DNS sera signée avec la technologie DNSSEC et la diffusion des signatures s’étalera de janvier à juillet 2010. En juillet, tous les treize serveurs DNS de la racine enverront les informations DNSSEC. Celles-ci, des signatures cryptographiques, sont de taille bien plus importante que les réponses DNS classiques. Elles dépasseront l’ancienne limite de 512 octets du DNS et même la limite des 1500 octets de la MTU Ethernet (la plus répandue sur l’Internet).

En effet, le RFC 2671 qui supprimait la limite des 512 octets est sorti en août 1999, il y a plus de dix ans. Mais il existe toujours un certain nombre de pare-feux ou d’autres équipements réseau qui, mal conçus ou bien mal configurés, refusent les réponses DNS de plus de 512 octets. Parmi ceux qui les acceptent, certains ne gèrent pas correctement la fragmentation des paquets IP (par exemple parce qu’ils bloquent tous les paquets ICMP) et ne peuvent donc pas recevoir des paquets DNS de taille supérieure à la MTU, en général 1500 octets.

Les réseaux qui rejettent les paquets DNS de plus de 512 octets, ou même seulement ceux de plus de 1500 octets, ne pourront plus parler à la racine du DNS après juillet 2010 (puisqu’ils ne recevront plus les réponses) et n’auront donc quasiment plus d’accès Internet en pratique.

Il est donc important de tester votre réseau pour voir si la résolution DNS pourra fonctionner correctement après juillet 2010. Le moyen le plus simple est, sur une machine où le logiciel dig est installé (la plupart des Unix), de taper :

dig +short rs.dns-oarc.net txt

et de voir si la réponse indique plus de 1500 octets, comme ici :

« 203.0.113.1 DNS reply size limit is at least 4023 bytes »

Cet outil, produit par l’OARC (DNS Operations, Analysis and Research Center) est documenté en ici.

Si le test indique que les paquets de plus de 1500 octets ne peuvent pas passer, vous devez analyser l’ensemble de votre réseau et tous les équipements intermédiaires (notamment les pare-feux) pour s’assurer qu’ils sont configurés correctement.

Plus d’informations :

La carte du déploiement mondiale de DNSSEC.

L’annonce du plan de signature de la racine.

Le site officiel du projet de signature, avec le calendrier de déploiement

Les instructions d’un serveur racine.

Votre serveur DNS peut-il faire passer des paquets de toutes les tailles ?