Get detailed insights about TLDs
C'est une banalité que de noter que DNSSEC est complexe. Heureusement, cette complexité est souvent cachée par les outils utilisés. Mais, parfois, elle resurgit lorsque quelque chose ne marche pas. C'est le cas à l'instant du tout nouveau TLD .онлайн, dont les enregistrements NSEC3 sont insuffisants.
Piratage du bureau d’enregistrement #MelbourneIT par la #SEA, ce qui leur a permis de changer les serveurs de noms de domaines importants comme nytimes.com et twitter.com, puis ainsi de publier des adresses menant à leurs propres serveurs.
L’article officiel du New York Times : http://www.nytimes.com/2013/08/28/business/media/hacking-attack-is-suspected-on-times-web-site.html
Et celui (évidemment très court) de Twitter : http://status.twitter.com/post/59528478030/twitter-service-issue
L’étude détaillée de CloudFlare, qui inclut notamment le message de MelbourneIT (non public) reconnaissant le piratage : http://blog.cloudflare.com/details-behind-todays-internet-hacks
Un interview de votre serviteur à PCInpact : http://www.pcinpact.com/news/82014-detournement-nyt-et-twitter-entretien-avec-stephane-bortzmeyer.htm
Panne du TLD (domaine de tête) .gov ce 14 août pendant environ deux heures. Tous les noms sous .gov…
Panne du TLD (domaine de tête) .gov ce 14 août pendant environ deux heures. Tous les noms sous .gov (nsa.gov, fbi.gov...) étaient donc invalides. Une erreur logicielle a entraîné la publication d’une mauvaise clé #DNSSEC, rendant le domaine inaccessible pour tous les résolveurs validants (nombreux aux États-Unis, avec notamment Comcast et Google Public DNS.
Bonne analyse technique : https://isc.sans.edu/diary/.GOV%2Bzones%2Bmay%2Bnot%2Bresolve%2Bdue%2Bto%2BDNSSEC%2Bproblems./16367
L’explication officielle de #Verisign, registre de .gov (ça se tient, cette histoire de publication des mauvaises clés) http://mailman.nanog.org/pipermail/nanog/2013-August/060328.html
Un article surtout intéressant pour l’opinion émise à la fin : http://www.virusbtn.com/news/2013/08_15.xml
Un mauvais article d’Ars Technica (très confus techniquement) : http://arstechnica.com/information-technology/2013/08/that-gov-outage-this-morning-blame-an-error-in-domain-name-security
Leçons à en tirer ? DNSSEC, c’est délicat et cela doit être fait soigneusement.
En gros, plusieurs AC acceptent d’émettre des certificats pour des noms d’un seul composant (par exemple « local » ou « prive »), afin que des employés d’une boîte puissent accéder à des services internes, qui utilisent ces noms (ce qui est une mauvaise idée