Aller au contenu principal

9. États DNSSEC

Un résolveur validant peut déterminer qu'une réponse est dans l'un des quatre états: secure (sécurisé), insecure (non sécurisé), bogus ou indeterminate (indéterminé). Ces états sont définis dans [RFC4033] et [RFC4035], bien que les deux définitions diffèrent un peu. Ce document ne fait aucun effort pour réconcilier les deux définitions, et ne prend aucune position quant à savoir si elles doivent être réconciliées.

La Section 5 de [RFC4033] dit:

Un résolveur validant peut déterminer les 4 états suivants:

Secure (Sécurisé): Le résolveur validant a une ancre de confiance, a une chaîne de confiance, et est capable de vérifier toutes les signatures dans la réponse.

Insecure (Non sécurisé): Le résolveur validant a une ancre de confiance, une chaîne de confiance, et, à un certain point de délégation, une preuve signée de la non-existence d'un enregistrement DS. Cela indique que les branches ultérieures dans l'arbre sont prouvablement non sécurisées. Un résolveur validant peut avoir une politique locale pour marquer des parties de l'espace de domaine comme non sécurisées.

Bogus: Le résolveur validant a une ancre de confiance et une délégation sécurisée indiquant que les données subsidiaires sont signées, mais la réponse échoue à valider pour une raison quelconque: signatures manquantes, signatures expirées, signatures avec des algorithmes non pris en charge, données manquantes que le RR NSEC pertinent dit devoir être présentes, et ainsi de suite.

Indeterminate (Indéterminé): Il n'y a pas d'ancre de confiance qui indiquerait qu'une portion spécifique de l'arbre est sécurisée. C'est le mode de fonctionnement par défaut.

La Section 4.3 de [RFC4035] dit:

Un résolveur conscient de la sécurité doit être capable de distinguer entre quatre cas:

Secure (Sécurisé): Un RRset pour lequel le résolveur est capable de construire une chaîne de DNSKEY et DS RR signés à partir d'une ancre de sécurité de confiance jusqu'au RRset. Dans ce cas, le RRset devrait être signé et est soumis à la validation de signature, comme décrit ci-dessus.

Insecure (Non sécurisé): Un RRset pour lequel le résolveur sait qu'il n'a pas de chaîne de DNSKEY et DS RR signés à partir de n'importe quel point de départ de confiance jusqu'au RRset. Cela peut se produire lorsque le RRset cible se trouve dans une zone non signée ou dans un descendant d'une zone non signée. Dans ce cas, le RRset peut ou non être signé, mais le résolveur ne sera pas capable de vérifier la signature.

Bogus: Un RRset pour lequel le résolveur croit qu'il devrait être capable d'établir une chaîne de confiance mais pour lequel il est incapable de le faire, soit en raison de signatures qui pour une raison quelconque échouent à valider, soit en raison de données manquantes que les RR DNSSEC pertinents indiquent devoir être présentes. Ce cas peut indiquer une attaque mais peut également indiquer une erreur de configuration ou une certaine forme de corruption de données.

Indeterminate (Indéterminé): Un RRset pour lequel le résolveur n'est pas capable de déterminer si le RRset devrait être signé, car le résolveur n'est pas capable d'obtenir les RR DNSSEC nécessaires. Cela peut se produire lorsque le résolveur conscient de la sécurité n'est pas capable de contacter des serveurs de noms conscients de la sécurité pour les zones pertinentes.

Dernière mise à jour le