Je suis Charlie

Autres trucs

Accueil

Seulement les RFC

Seulement les fiches de lecture

Ève

Des résolveurs DNSSEC validant publiquement accessibles ?

Première rédaction de cet article le 27 juillet 2010


La récente signature de la racine du DNS, complétée le 15 juillet, a ravivé l'intérêt pour la validation des signatures DNSSEC, le service qui vérifie que la signature d'un nom de domaine est correcte, et qui met le bit AD (Authentic Data à 1 dans la réponse DNS. Installer un tel résolveur validant n'est pas trop difficile (voir par exemple mes articles « Unbound, un autre résolveur DNS » ou « Valider la racine du DNS »). Mais il est encore plus simple d'utiliser un résolveur existant et publiquement accessible.

En voici une liste partielle, ne comportant que des résolveurs que j'ai testé. Lisez bien la documentation de chacun notamment pour voir les clés de confiance (trust anchor) qu'il utilise.

  • L'ODVR de l'OARC, accessible en IPv4 et IPv6,
  • Les résolveurs de Hauke Lampe, 85.10.240.249 (unbound.resolvers.openchaos.org) et 85.10.240.250 (bind.resolvers.openchaos.org) qui utilisent le banc de test de .de en plus de la racine et de DLV.

Autrement, il n'existe que des résolveurs réservés aux clients d'un FAI comme celui de Comcast ou bien spécifiques à un domaine comme celui de DENIC pour .de (dans ce dernier cas, on peut toujours configurer son résolveur, par exemple avec la directive forward de BIND ou Unbound, pour utiliser ces serveurs DNSSEC au lieu des serveurs normaux).

Il existe de bonnes raisons à ce manque de serveurs publics, exposés dans le RFC 5358. Pour éviter les problèmes décrits dans le RFC, le service de l'OARC est limité en débit.

Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)

Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)