DLV (
En effet, avec DNSSEC tel qu'il est spécifié dans le
Signer la racine est trivial techniquement
(l'
DLV résout donc le problème en permettant aux racines de signature
(comme celle de
l'ISC) d'être distinctes de la racine du DNS. Ainsi, pour
vérifier la signature de
La section 7 du RFC est consacrée à un problème
difficile. Avec DLV, contrairement au DNSSEC classique, plusieurs
« racines » peuvent signer un même domaine. On peut avoir par exemple
une racine DLV qui signe
DLV fournit donc désormais une alternative à la longue attente
d'une signature officielle de la racine. Cette alternative a semblé
trop simple à certains et beaucoup d'objections ont été levées contre
DLV, accusé notamment de retarder la « vraie », la « bonne » solution
de signer la racine. Pour citer
L'
// À l'intérieur du bloc "options"
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside . trust-anchor dlv.isc.org.;
À partir de là, on peut valider un domaine qui est enregistré dans le
registre DLV de l'ISC, même si on n'a pas de
> DiG 9.5.0-P2 <<>> +dnssec MX sources.org.
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15559
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
^^
>>>> Authentic Data, donc validées par DNSSEC
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;sources.org. IN MX
;; ANSWER SECTION:
sources.org. 86400 IN MX 10 uucp.bortzmeyer.org.
...
]]>
Autre solution pour tester si son résolveur utilise bien le
registre DLV de l'ISC : . Par exemple :
> DiG 9.5.1-P3 <<>> +dnssec a.nsec.dlvtest.dns-oarc.net txt
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56042
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
...
]]>
Cet essai a bien fonctionné, on a bien le 'ad'.
Le service DLV de l'ISC a été arrêté depuis et cette technique transitoire n'est désormais plus d'actualité.