Aller au contenu principal

2. Définitions des termes DNSSEC importants

Cette section définit un certain nombre de termes utilisés dans cet ensemble de documents. Comme cela est destiné à être utile comme référence lors de la lecture du reste de l'ensemble de documents, les lecteurs débutants peuvent souhaiter parcourir rapidement cette section, lire le reste de ce document, puis revenir à cette section.

Authentication Chain (Chaîne d'authentification): Une séquence alternée de RRsets de clés publiques DNS (DNSKEY) et de RRsets de signataire de délégation (Delegation Signer, DS) forme une chaîne de données signées, chaque maillon de la chaîne garantissant le suivant. Un DNSKEY RR est utilisé pour vérifier la signature couvrant un DS RR et permet l'authentification du DS RR. Le DS RR contient un hachage d'un autre DNSKEY RR et ce nouveau DNSKEY RR est authentifié en faisant correspondre le hachage dans le DS RR. Ce nouveau DNSKEY RR authentifie à son tour un autre RRset DNSKEY et, à son tour, un DNSKEY RR de cet ensemble peut être utilisé pour authentifier un autre DS RR, et ainsi de suite jusqu'à ce que la chaîne se termine finalement par un DNSKEY RR dont la clé privée correspondante signe les données DNS souhaitées. Par exemple, le RRset DNSKEY racine peut être utilisé pour authentifier le RRset DS pour "example." Le RRset DS "example." contient un hachage qui correspond à un DNSKEY "example.", et la clé privée correspondante de ce DNSKEY signe le RRset DNSKEY "example." Les contreparties de clés privées du RRset DNSKEY "example." signent des enregistrements de données tels que "www.example." et des DS RR pour des délégations telles que "subzone.example."

Authentication Key (Clé d'authentification): Une clé publique qu'un résolveur conscient de la sécurité a vérifiée et peut donc utiliser pour authentifier des données. Un résolveur conscient de la sécurité peut obtenir des clés d'authentification de trois manières. Premièrement, le résolveur est généralement configuré pour connaître au moins une clé publique, ces données configurées sont généralement soit la clé publique elle-même, soit un hachage de la clé publique tel que trouvé dans le DS RR (voir "trust anchor"). Deuxièmement, le résolveur peut utiliser une clé publique authentifiée pour vérifier un DS RR et le DNSKEY RR auquel le DS RR fait référence. Troisièmement, le résolveur peut être capable de déterminer qu'une nouvelle clé publique a été signée par la clé privée correspondant à une autre clé publique que le résolveur a vérifiée. Notez que le résolveur doit toujours être guidé par la politique locale lorsqu'il décide d'authentifier une nouvelle clé publique, même si la politique locale consiste simplement à authentifier toute nouvelle clé publique pour laquelle le résolveur est capable de vérifier la signature.

Authoritative RRset (RRset autoritaire): Dans le contexte d'une zone particulière, un RRset est "autoritaire" si et seulement si le nom de propriétaire du RRset se trouve dans le sous-ensemble de l'espace de noms qui est au niveau ou en dessous du sommet de la zone et au niveau ou au-dessus des coupures qui séparent la zone de ses enfants, le cas échéant. Tous les RRsets au sommet de la zone sont autoritaires, à l'exception de certains RRsets à ce nom de domaine qui, s'ils sont présents, appartiennent au parent de cette zone. Ces RRsets pourraient inclure un RRset DS, le RRset NSEC référençant ce RRset DS (le "NSEC parental"), et les RRSIG RR associés à ces RRsets, qui sont tous autoritaires dans la zone parent. De même, si cette zone contient des points de délégation, seuls le RRset NSEC parental, les RRsets DS et tous les RRSIG RR associés à ces RRsets sont autoritaires pour cette zone.

Delegation Point (Point de délégation): Terme utilisé pour décrire le nom du côté parental d'une coupure de zone. C'est-à-dire que le point de délégation pour "foo.example" serait le nœud foo.example dans la zone "example" (par opposition au sommet de la zone "foo.example"). Voir également zone apex.

Island of Security (Île de sécurité): Terme utilisé pour décrire une zone déléguée signée qui n'a pas de chaîne d'authentification depuis son parent délégant. C'est-à-dire qu'il n'y a pas de DS RR contenant un hachage d'un DNSKEY RR pour l'île dans sa zone parent déléguante (voir [RFC4034]). Une île de sécurité est servie par des serveurs de noms conscients de la sécurité et peut fournir des chaînes d'authentification à toutes les zones enfants déléguées. Les réponses d'une île de sécurité ou de ses descendants ne peuvent être authentifiées que si ses clés d'authentification peuvent être authentifiées par un moyen de confiance hors bande du protocole DNS.

Key Signing Key (KSK, Clé de signature de clé): Une clé d'authentification qui correspond à une clé privée utilisée pour signer une ou plusieurs autres clés d'authentification pour une zone donnée. Typiquement, la clé privée correspondant à une clé de signature de clé signera une clé de signature de zone, qui à son tour a une clé privée correspondante qui signera d'autres données de zone. La politique locale peut exiger que la clé de signature de zone soit changée fréquemment, tandis que la clé de signature de clé peut avoir une période de validité plus longue afin de fournir un point d'entrée sécurisé plus stable dans la zone. Désigner une clé d'authentification comme clé de signature de clé est purement une question opérationnelle: la validation DNSSEC ne fait pas de distinction entre les clés de signature de clé et les autres clés d'authentification DNSSEC, et il est possible d'utiliser une seule clé à la fois comme clé de signature de clé et clé de signature de zone. Les clés de signature de clé sont discutées plus en détail dans [RFC3757]. Voir également zone signing key.

Non-Validating Security-Aware Stub Resolver (Résolveur stub conscient de la sécurité non validant): Un résolveur stub conscient de la sécurité qui fait confiance à un ou plusieurs serveurs de noms récursifs conscients de la sécurité pour effectuer la plupart des tâches discutées dans cet ensemble de documents en son nom. En particulier, un résolveur stub conscient de la sécurité non validant est une entité qui envoie des requêtes DNS, reçoit des réponses DNS et est capable d'établir un canal approprié sécurisé vers un serveur de noms récursif conscient de la sécurité qui fournira ces services au nom du résolveur stub conscient de la sécurité. Voir également security-aware stub resolver, validating security-aware stub resolver.

Non-Validating Stub Resolver (Résolveur stub non validant): Un terme moins fastidieux pour un résolveur stub conscient de la sécurité non validant.

Security-Aware Name Server (Serveur de noms conscient de la sécurité): Une entité agissant dans le rôle d'un serveur de noms (défini dans la section 2.4 de [RFC1034]) qui comprend les extensions de sécurité DNS définies dans cet ensemble de documents. En particulier, un serveur de noms conscient de la sécurité est une entité qui reçoit des requêtes DNS, envoie des réponses DNS, prend en charge l'extension de taille de message EDNS0 ([RFC2671]) et le bit DO ([RFC3225]), et prend en charge les types RR et les bits d'en-tête de message définis dans cet ensemble de documents.

Security-Aware Recursive Name Server (Serveur de noms récursif conscient de la sécurité): Une entité qui agit à la fois dans les rôles de serveur de noms conscient de la sécurité et de résolveur conscient de la sécurité. Une phrase plus lourde mais équivalente serait "un serveur de noms conscient de la sécurité qui offre un service récursif".

Security-Aware Resolver (Résolveur conscient de la sécurité): Une entité agissant dans le rôle d'un résolveur (défini dans la section 2.4 de [RFC1034]) qui comprend les extensions de sécurité DNS définies dans cet ensemble de documents. En particulier, un résolveur conscient de la sécurité est une entité qui envoie des requêtes DNS, reçoit des réponses DNS, prend en charge l'extension de taille de message EDNS0 ([RFC2671]) et le bit DO ([RFC3225]), et est capable d'utiliser les types RR et les bits d'en-tête de message définis dans cet ensemble de documents pour fournir des services DNSSEC.

Security-Aware Stub Resolver (Résolveur stub conscient de la sécurité): Une entité agissant dans le rôle d'un résolveur stub (défini dans la section 5.3.1 de [RFC1034]) qui a une compréhension suffisante des extensions de sécurité DNS définies dans cet ensemble de documents pour fournir des services supplémentaires non disponibles à partir d'un résolveur stub inconscient de la sécurité. Les résolveurs stub conscients de la sécurité peuvent être soit "validants" soit "non validants", selon que le résolveur stub tente de vérifier les signatures DNSSEC lui-même ou fait confiance à un serveur de noms conscient de la sécurité amical pour le faire. Voir également validating stub resolver, non-validating stub resolver.

Security-Oblivious <anything> (Inconscient de la sécurité <quoi que ce soit>): Un <quoi que ce soit> qui n'est pas "conscient de la sécurité".

Signed Zone (Zone signée): Une zone dont les RRsets sont signés et qui contient des enregistrements DNSKEY, Resource Record Signature (RRSIG), Next Secure (NSEC) et (facultativement) DS correctement construits.

Trust Anchor (Ancre de confiance): Un DNSKEY RR configuré ou un hachage DS RR d'un DNSKEY RR. Un résolveur conscient de la sécurité validant utilise cette clé publique ou ce hachage comme point de départ pour construire la chaîne d'authentification vers une réponse DNS signée. En général, un résolveur validant devra obtenir les valeurs initiales de ses ancres de confiance via un moyen sécurisé ou de confiance en dehors du protocole DNS. La présence d'une ancre de confiance implique également que le résolveur devrait s'attendre à ce que la zone vers laquelle l'ancre de confiance pointe soit signée.

Unsigned Zone (Zone non signée): Une zone qui n'est pas signée.

Validating Security-Aware Stub Resolver (Résolveur stub conscient de la sécurité validant): Un résolveur conscient de la sécurité qui envoie des requêtes en mode récursif mais qui effectue la validation de signature lui-même plutôt que de faire aveuglément confiance à un serveur de noms récursif conscient de la sécurité en amont. Voir également security-aware stub resolver, non-validating security-aware stub resolver.

Validating Stub Resolver (Résolveur stub validant): Un terme moins fastidieux pour un résolveur stub conscient de la sécurité validant.

Zone Apex (Sommet de zone): Terme utilisé pour décrire le nom du côté enfant d'une coupure de zone. Voir également delegation point.

Zone Signing Key (ZSK, Clé de signature de zone): Une clé d'authentification qui correspond à une clé privée utilisée pour signer une zone. Typiquement, une clé de signature de zone fera partie du même RRset DNSKEY que la clé de signature de clé dont la clé privée correspondante signe ce RRset DNSKEY, mais la clé de signature de zone est utilisée dans un but légèrement différent et peut différer de la clé de signature de clé d'autres manières, telles que la durée de validité. Désigner une clé d'authentification comme clé de signature de zone est purement une question opérationnelle, la validation DNSSEC ne fait pas de distinction entre les clés de signature de zone et les autres clés d'authentification DNSSEC, et il est possible d'utiliser une seule clé à la fois comme clé de signature de clé et clé de signature de zone. Voir également key signing key.

Dernière mise à jour le