Vous êtes ici :
-
Consultations
-
Commandes publiques de l'Afnic
-
Documents de référence
-
Statistiques
-
Publications
-
Blog
- Les marques répondent présentes au 2nd rendez-vous du Cercle des .marque
- Radioscopie du .RE
- À propos de l’attaque sur les résolveurs DNS de FAI français
- Utiliser l'open data de l'Afnic : exemple avec le terme COVID
- Héberger un nom de domaine avec caractères composés
- L’éligibilité d’un titulaire situé sur le territoire du Royaume-Uni post BREXIT
- Peut-on avoir des caractères composés dans un nom de domaine ?
- Le fonctionnement de l'Afnic pendant le confinement
- Quels domaines de premier niveau ont une adresse IP ?
- Lala Andriamampianina nous a quittés
- 6 conseils pour éviter les piratages de son site web
- Résolutions 2020: l'Afnic se met à l'elliptique
- À la recherche des nTLD low cost
- Balade au cœur du .paris - à la découverte de sa communauté
- Le .ORG – une autre perspective
- Retour sur le succès de la première rencontre du Cercle des .marque
- Facteurs clés de succès des extensions internet : une grille d’analyse
- [Vidéo] Retour sur le Forum de la Gouvernance Internet (FGI) France 2019
- Un petit exemple d'utilisation des données ouvertes de l'Afnic
- Réflexions sur les modèles économiques des « nouveaux TLD »
- 30 ans, des succès, et des risques ; le Web, l'URL et le futur
- [Success stories] Renforcer son infrastructure pour l’adapter à ses ambitions
- 1er février 2019 : le DNS va-t-il trembler ?
- [Success stories] Ils ont fait le choix d’une extension internet personnalisée
- [Success stories] Le .museum, une extension internet historique redynamisée
- Les grandes étapes pour lancer efficacement votre .marque
- 6 secrets pour améliorer le renouvellement des noms de domaine
- [Vidéo] Retour en images sur l'IGF 2018 Paris
- Le .MARQUE pour optimiser l'expérience client
- L’Afnic s’implique dans la sécurité du DNS au niveau international
- Remplacement de la clé KSK de la zone racine : Êtes-vous prêts ?
- Comment la SNCF a mis en oeuvre sa nouvelle stratégie digitale avec oui.sncf ?
- Projet de R&D: classification automatique des abus en matière de noms de domaine
- Mémorisation auditive des noms de domaine
- Quelles actions mener face aux abus sur les noms de domaine ?
- Usurpation d’identité par nom de domaine : ce que fait l’Afnic
- Cybersquatting, Spam, Phishing… les différents types d’abus sur noms de domaine
- [Vidéo] Retour sur le Forum de la Gouvernance de l'Internet France 2018
- Les extensions internet personnalisées : quelles opportunités pour les marques ?
- Comment éviter l'irrecevabilité dans la procédure SYRELI
- Quels sont les termes anglophones les plus utilisés dans les domaines en .FR ?
- Sécurité des noms de domaine, l'exemple des cryptomonnaies
- Test de personnalité : êtes-vous prêts pour le RGPD ?
- Les extensions comme le .alsace ont-elles un effet sur le SEO local ?
- Quels sont les termes les plus utilisés dans les noms de domaine en .fr ?
- Les 11 endroits incontournables où votre adresse internet doit apparaitre !
- Quels moyens d'actions pour les ayants-droits non éligibles à la charte du .fr ?
- Litige sur un nom de domaine: la reconnaissance des droits d'une AOC dans SYRELI
- Pourquoi utiliser un nom de domaine sous une nouvelle extension ?
- L'Afnic, une communauté avant tout !
- La défense des droits de la personnalité dans la procédure SYRELI
- Le prochain round des nouveaux gTLD, c’est pour quand ?
- Pourquoi venir à l’Afnic Forum ?
- Résolveur public de DNS-sur-TLS Yeti
- 2016, début d’un nouveau cycle pour l’Afnic
- Le .fr vient de franchir le cap des 3 millions de noms de domaine
- Mon expérience au sein du service Juridique de l'Afnic
- [Vidéo] 4 conseils pour réussir le lancement de votre entreprise sur Internet
- Futur de l’ICANN: Ni privatisation, ni internationalisation, ni supervision
- Excellence à l’Afnic – le coming out
- Offre exclusive : votre nom de domaine 100% Remboursé* !
- Intervention à l'occasion de la remise du plan de transition IANA
- Afnic Football Club
- 8 astuces pour bien choisir son nom de domaine
- IPv6 et DNSSEC ont 20 et 19 ans. Même combat et mêmes défis !?
- Le projet Yeti d'expérimentation d'une racine DNS
- L.45-2 1° du CPCE : Quand le nom de domaine porte atteinte à la loi
- Comment éviter de se faire voler son nom de domaine par email ?
- Responsabilité et transition IANA : les coulisses
- République numérique : Ceci n’est pas une consultation publique
- Faut-il une approche globale pour les marques territoriales françaises ?
- Ne vendez plus de noms de domaine !
- abc.xyz : erratum.xyz
- abc.xyz : et pendant ce temps en France ?
- abc.xyz : pourquoi pas alphabet.com ? (Version théorie du complot)
- abc.xyz : le succès controversé du .xyz
- Communication institutionnelle : une tension permanente ?
- abc.xyz : pourquoi pas alphabet.com ?
- alphabet.xyz : comment Alphabet a acheté son nom de domaine ?
- abc.xyz : pas d’inquiétude, nous sommes aussi en train de nous habituer à ce nom
- La transition IANA franchit une étape majeure à Buenos Aires
- Une journée dans la vie de la communauté habilitée ICANN
- Transition IANA : la machine est lancée, mais l'échéance approche
- La Chine, une mutation à pas de géant
- Vers un DNS moins indiscret
- Les Parl : mettez toutes les chances de votre côté
- Icann : la gouvernance pour quoi faire ?
- ICANN Singapour. Un débat au bout du monde
- Synthèse de la table-ronde Afnic sur la solidarité numérique
- Mesurer la « qualité » de l'accès à l'Internet, mission difficile
- Réforme de l'Icann, la boite de Pandore est ouverte
- Comment se porte l'Internet en France ?
- Forum sur la Gouvernance de I’Internet : Que faire ?
- Spam suffit !
- Icann : ne bougez plus !
- Escroqueries et usurpations d’identité, expérience d’un rapporteur SYRELI
- La reforme des régions ne sonnera pas la fin des geoTLD français
- Que retenir de NETmundial ?
- Avis de changement à l'Afnic !
- Suggestions pour une transition IANA réussie
- Sur la gouvernance de l'Internet, les Etats Unis jouent la carte Icann
- Retour vers le futur du service juridique de l’Afnic
- Pourquoi les territoires veulent-ils leur place sur Internet ?
- Vers une nécessaire rationalisation du « panier gTLDs » des registrars ?
- L'éléphant IANA est dans la salle
- Syreli fête ses deux ans
- 2014 : changement de jalons pour le système de nommage
- Le système de nommage de GNUnet
- Gouvernance de l’Internet : Au travail !
- La responsabilité sociétale et l'ADN des ccTLDs
- Mais que fait l'Afnic ?
- Conseil d'Etat, Léon Blum, Lawrence Lessig et l'Afnic
- Qui est derrière le Whois ?
- Registrars Atlas 2013, ce qu'il faut retenir
-
FAQ
-
Lexique
-
Certificats
Résolutions 2020: l'Afnic se met à l'elliptique
30 janvier 2020 - Par Vincent Levigneron
10 ans... 10 ans que l'Afnic a mis en œuvre la technologie DNSSEC pour l'ensemble des TLD qu'elle opère. Il faut bien l'admettre, même si quelques ajustements sur la taille des clés, leur rôle et la génération du sel ont bien été réalisés tout au long de cette période, aucun changement radical visible pour l'utilisateur n'avait été entrepris jusqu'à ce jour. Certes, nous avons renforcé notre infrastructure et nos process pour minimiser l'impact lié au nombre toujours plus grand du nombre d'enregistrements à signer, fait en sorte qu'aucun incident ne survienne lors des phases délicates de remplacements de clés (tous les 2 ans pour la KSK, tous les 2 mois pour les ZSK) et aussi réalisé une veille active afin de suivre les évolutions en matière de cryptographie pour nous assurer que nous proposions des algorithmes de clés toujours pertinents. Mais depuis quelques temps déjà, nous pensions à passer à autre chose que RSA (algorithme actuellement choisi pour nos ZSK et KSK) afin de limiter l'impact volumétrique lié à DNSSEC sans pour autant diminuer la force cryptographique des clés et des signatures générées.
Concrètement, voici quelques chiffres pour la zone .fr (de loin notre TLD comportant le plus d'enregistrements de type DS et donc de données à signer).
- Environ 3,5 millions de noms de domaine
- Un peu plus de 400 000 d'entre eux sont signés
- Le fichier de zone non signé fait environ 280 Mo, la version signée près de 800 Mo (et encore l'Afnic utilise l'option 'opt out' qui minimise le nombre de signatures).
Actuellement les clés utilisées pour la zone .fr (et pour nos autres zones) sont de type RSA (RSA-SHA256/8 pour être précis) et de taille 2048 bits (les KSK et les ZSK). Nous souhaitions donc trouver un algorithme apportant a minima le même niveau de sécurité mais ayant un impact moindre sur la taille des fichiers de zone et des réponses aux requêtes DNS.
Quels seraient les bénéfices d'avoir un fichier de zone plus petit et des réponses de taille moindre ?
- Premièrement, lors des opérations nécessitant une génération complète d'un fichier de zone et sa distribution, les opérations de transfert seront plus rapides, le rechargement de la zone dans les serveurs sera plus rapide, de ce fait la synchronisation des différents nuages anycast qui hébergent les TLD que nous opérons sera plus rapide.
- Avoir des réponses significativement plus petites réduiraient l'impact des attaques de type DDoS qui utiliseraient DNSSEC comme vecteur d'amplification.
- Recours moindre à la fragmentation IP (ce qui est une manière de contribuer au DNS Flag Day 2020). De fait la diminution du temps de réponses aux requêtes améliore l'UX.
- Moins de données à faire transiter, moins de ressources à utiliser, c'est une manière, même modeste, de diminuer l'empreinte carbone de l'activité DNS.
Quel algorithme choisir et pourquoi ?
Depuis pas mal d'années déjà, nous avions en ligne de mire les algorithmes à base de courbe elliptiques. Leur adoption (le RFC 6605 sur ECDSA date de 2012 par exemple, celui sur EdDSA, le RFC 8080 de 2017 ) puis leur mise en œuvre dans les différents maillons de la chaîne ont demandé du temps. Il y a encore peu des craintes subsistaient quant au comportement des resolvers qui ne seraient pas à jour face à ce type d'algorithme. Il existe plusieurs algorithmes à base de courbes elliptiques, mais nous avons choisi de nous intéresser à ECDSA (précisément à "ECDSA Curve P-256 with SHA-256"). Cet algorithme "moderne" promet une sécurité supérieure à ce que nous avons mis en œuvre aujourd'hui mais avec une taille de clé et de signature bien plus petite (les experts considèrent qu'une clé ECDSA a un niveau de résistance équivalent à une clé RSA de 3072 bits). En moyenne, une réponse signée à une question DNS sera 3 fois plus petite que son équivalent avec une clé RSA de 2048 bits. Le gain estimé sur la taille du fichier signé pour la zone .fr serait de -33% de celle-ci.
Si nous avons choisi de réaliser cette évolution maintenant, c'est pour plusieurs raisons :
- Le RFC 8624 qui est passé dans l'état 'standard' en juin 2019 place cet algorithme dans la courte liste (2) de ceux qui doivent être mis en œuvre au niveau des logiciels de signature (le second étant celui que nous utilisons).
- Si dans le petit monde des TLD, c'est RSA qui prédomine largement, au niveau des registrars, c'est ECDSA qui est désormais proposé et devenu pour nombre d'entre eux l'algorithme par défaut.
- Lors de notre veille, un message diffusé par Viktor Dukhovni en début d'année sur une liste de diffusion a suscité toute notre attention, en voici le contenu
With daily updates at https://stats.dnssec-tools.org I decided some time back that it no longer made sense to post monthly updates to this list, but perhaps a short annual note is not out of place. Some highlights for this year are:
- 10.70 million signed delegations, up from ~8.77 million a year ago. + 1.50 million signed .COM delegations, up from ~973 thousand. + 97 TLDs with 1000+ signed delegations, up from 76.
- 1.73 million DANE SMTP domains, up from ~775 thousand a year ago. + DANE MX hosts in 5.0 thousand zones, up from ~3.8 thousand.
- ECDSA P256 (13) now most common KSK algorithm, ahead of RSASHA256 (8). + Last year: 4,005,976 alg 8; 1,908,218 alg 13. + This year: 3,798,256 alg 8; 3,937,115 alg 13.
Viktor Dukhovni réalise un certain nombre de mesures qui sont hébergées sur le site https://stats.dnssec-tools.org, maintenu par Wes Hardaker. Ces 2 personnes sont bien connues de la communauté DNS des TLD. Voici un graphe, que l'on ne trouve pas sur le site et qui montre bien l'évolution des différents algorithmes (clé de lecture: alg-8 correspond à l'algorithme RSA que nous utilisons, alg-13 correspond à l'algorithme ECDSA. En abscisse, on retrouve des dates au format Année/Mois).
Au niveau des TLD, le constat est un peu différent puisque sur les quelques 1500 TLD annoncés par la racine, un millier utilisent RSA, 140 ne sont toujours pas signés, 8 seulement utilisent ECDSA, les autres (275) utilisent des algorithmes aujourd'hui considérés obsolètes.
Ne voyant plus de frein à cette évolution nous avons donc décidé de passer à la transition à proprement parler. Notre infrastructure aussi bien matérielle que logicielle a été progressivement mise à jour, c'est un travail de longue haleine qui a commencé il y a plus d'un an et qui va s'achever ce mois-ci. Quelques zones que nous gérons ont déjà été migrées (dnssec.fr, nic.fr, nic.re, afnic.fr, afnic.re) et nous ont permis de valider l'ensemble des éléments de notre système. Nous nous proposons de migrer 6 ccTLD que nous opérons (.fr, .re, .pm, .tf, .yt, .wf) au cours de ce premier trimestre. Une fois cette étape réalisée il sera temps de considérer cette évolution pour les gTLD opérés par l'Afnic (.paris, .ovh, ...).
Ce nom de domaine
est-il disponible ?
Actualités
- 15 décembre 2020 Présence en ligne des TPE/PME : résultats 2019/2020 de l'étude Afnic « ...
- 10 décembre 2020 Trois projets d’ampleur sur la feuille de route du Collège international de l...
- 23 novembre 2020 Lucien Castex est renouvelé comme membre du "Multistakeholder Advisory Gro...
- 17 novembre 2020 Marianne Georgelin intègre le Comité de direction de l’Afnic, en tant que Di...
- 16 novembre 2020 « Je passe au numérique », l’initiative de l’Afnic pour les TPE/PME