1. Introduction
1.1. Aperçu
Apple signera ses fichiers de zone .Apple en mettant en œuvre les extensions de sécurité du système des noms de domaine (DNSSEC). L’objectif de la présente déclaration de pratiques DNSSEC (DPS) est de décrire les contrôles et procédures de sécurité essentiels qu’Apple mettra en œuvre par l’intermédiaire de son fournisseur de services dorsaux Afilias pour le stockage, l’accès et l’utilisation des clés pour ses propres clés et l’acceptation sécurisée des clés publiques des titulaires de noms de domaine, afin de permettre aux parties prenantes de l’Internet d’évaluer la solidité et la sécurité de la chaîne de confiance DNSSEC pour les noms de domaine dans le domaine de premier niveau .Apple. Ce DPS ne s’applique pas aux autres noms de domaine détenus, enregistrés ou utilisés par Apple. Ce document a été créé en utilisant le format décrit dans le RFC 6841.
1.2. Nom et identification du document
Le présent document décrit les pratiques utilisées par Afilias, le fournisseur de services dorsaux pour le TLD .Apple, pour exploiter les zones DNS dans le cadre du DNSSEC pour le TLD .Apple.
1.3. Communauté et applicabilité
Cet article décrit les différentes « parties prenantes » de la fonctionnalité fournie par le DNSSEC et le TLD .Apple signé.
1.3.1. Le registre TLD
Pour le registre du TLD .Apple, Apple opère en tant qu’opérateur de registre (RO) et Afilias opère en tant que fournisseur de services back-end (BESP), où Afilias opère et remplit les fonctionnalités de maintenance de la zone du TLD pour le compte d’Apple.
En tant que BESP, Afilias exécutera les fonctionnalités suivantes pour le TLD .Apple :
Générer les clés de signature (KSK) pour la zone.
Générer les clés de signature de zone (ZSK) pour la zone.
Signer la ZSK à l’aide de la KSK.
Signer les enregistrements de ressources pertinents de la zone à l’aide de la ZSK.
Mettre à jour la ZSK et la KSK au besoin.
Envoyer les enregistrements de ressources de délégation de signature (DS) à l’ICANN pour qu’ils soient inclus dans la zone racine.
Recevoir les enregistrements de ressources DS des bureaux d’enregistrement accrédités et mettre à jour la zone en conséquence.
Mettre à jour les informations WHOIS en conséquence.
1.3.2. Bureaux d’enregistrement accrédités
Les bureaux d’enregistrement accrédités par Apple pour enregistrer des noms de domaine en .Apple sont tenus d’apporter des modifications à la zone en utilisant l’un des deux mécanismes suivants : (1) via EPP, ou (2) via un outil d’administration web. L’outil d’administration Web est une interface fournie par Afilias pour EPP, de sorte que, en fait, toutes les modifications du registre sont effectuées via EPP. Pour les DNSSEC, les bureaux d’enregistrement sont censés maintenir des enregistrements de signataires de délégation (DS) auprès d’Afilias pour le compte de leurs titulaires.
1.3.3. Titulaires
Les titulaires de noms de domaine .Apple sont tenus de s’assurer que leurs zones de domaine de deuxième niveau sont correctement signées et maintenues. Ils doivent également générer et télécharger des enregistrements DS pour leurs zones signées à leur bureau d’enregistrement (qui, à son tour, les envoie à Afilias).
1.4. Administration des spécifications
1.4.1. Organisation de l’administration des spécifications
Afilias maintient cette spécification au nom du registre .Apple TLD.
1.4.2. Coordonnées
Les questions ou préoccupations concernant ce DPS ou le fonctionnement d’un TLD signé doivent être envoyées au centre d’assistance à la clientèle d’Afilias. Elles sont accessibles via :
Téléphone : +1 416 646-3306
Courriel : support@afilias.info
1.4.3. Procédures de modification des spécifications
Le DPS est revu périodiquement et mis à jour le cas échéant.
Toutes les modifications sont examinées par les équipes d’Afilias chargées des opérations et de la sécurité, puis soumises à l’approbation des responsables TLD et BESP d’Apple et d’Afilias. Une fois acceptées, les procédures sont mises à jour et le personnel approprié est formé à toute pratique nouvelle ou modifiée. Une fois tous les travaux préparatoires achevés, le DPS est publié et entre en vigueur à compter de sa publication.
2. Publication et référentiels
2.1. Référentiels
Afilias gère les référentiels DPS et ses mécanismes de disponibilité, et Apple publie le DPS à l’adresse https://www.apple.com/legal/internet-services/docs/dotApple_DNSSEC_Practices_Statements.pdf.
2.2. Publication des clés de signature clé
La « chaîne de confiance » est maintenue pour la zone du TLD .Apple en demandant à Afilias d’envoyer des enregistrements DS à l’ICANN pour qu’ils soient inclus dans la délégation de la zone racine du TLD. Ces enregistrements DS correspondent à au moins un KSK actif dans la zone. Ainsi, aucune publication d’une ancre de confiance supplémentaire n’est requise.
3. Exigences opérationnelles
3.1. Signification des noms de domaine
Les politiques concernant les restrictions sur les noms de domaine dans la zone .Apple sont spécifiées par Apple et peuvent être consultées ici : apple.com/legal/internet-services/dotApple.html.
3,2. Identification et authentification du gestionnaire de zone enfant
Apple donne à Afilias l’autorisation expresse de permettre l’utilisation de DNSSEC pour les zones enfants dans le TLD .Apple. Seuls les bureaux d’enregistrement (au nom de leurs titulaires) sont autorisés à activer le DNSSEC pour une zone enfant. Pour activer le DNSSEC, un bureau d’enregistrement doit soumettre un enregistrement de signature de délégation (DS) soit via l’outil d’administration Web, soit via EPP (selon le RFC 5910).
Pour l’EPP, chaque bureau d’enregistrement dispose d’identifiants uniques pour accéder au registre du TLD .Apple, qui sont vérifiés par Afilias avant que des transactions EPP de quelque nature que ce soit puissent être effectuées. Pour l’outil d’administration Web, les certificats sont utilisés pour identifier de manière unique chaque bureau d’enregistrement.
3.3. Enregistrement des ressources du signataire de la délégation (DS)
Les enregistrements DS sont envoyés à Afilias par le bureau d’enregistrement via EPP (en particulier, selon le RFC 5910). Une fois soumises à Afilias, les données WHOIS sont modifiées et les changements de zone sont automatiquement propagés dans l’infrastructure DNS.
3.4. Méthode pour prouver la possession de clés privées
Il incombe au bureau d’enregistrement accrédité de garantir l’intégrité des données soumises à Afilias. Il n’est pas nécessaire qu’une clé DNSKEY correspondante soit déjà publiée dans une zone avant qu’un enregistrement DS ne soit soumis au parent. La preuve de la possession d’une clé privée est donc imprévisible.
Afilias n’effectue donc aucun test pour prouver la possession d’une clé privée.
3.5. Suppression de l’enregistrement DS
3.5.1. Qui peut demander la suppression
Seul le bureau d’enregistrement parrain d’un nom de domaine peut ajouter, modifier ou supprimer des enregistrements DS pour ce nom de domaine. Les bureaux d’enregistrement doivent fournir un code Auth-Info pour vérifier tout changement pour ce nom de domaine.
3.5.2. Procédure de demande de retrait
Les enregistrements DS sont supprimés à l’aide de la commande EPP appropriée, conformément au RFC 5910. Seul le bureau d’enregistrement parrain peut demander la suppression d’un enregistrement DS, et seulement s’il inclut le code Auth-Info correct.
3.5.3. Demande de retrait d’urgence
Comme cette procédure est facilitée par l’EPP et que le système est mis à jour en permanence, aucune procédure supplémentaire n’est requise pour une demande de retrait d’urgence.
4. Contrôles des installations, de la gestion et des opérations
4.1. Contrôles physiques
Afilias utilise deux sites géographiquement distincts situés dans des pays différents qui ne font pas partie de ses bureaux pour fournir des services DNSSEC redondants et de secours pour le TLD .Apple. Les deux sites sont des environnements physiquement protégés qui dissuadent, empêchent et détectent l’utilisation, l’accès et la divulgation non autorisés d’informations et de systèmes sensibles. Les deux installations limitent l’accès au personnel autorisé. Les visiteurs ne sont autorisés qu’à condition d’être accompagnés par le personnel autorisé et dans un but précis (par exemple, réparation de matériel par un technicien).
Les deux installations sont dotées d’une alimentation électrique redondante et de secours, d’un système de climatisation et de services de protection et d’extinction des incendies. Des précautions raisonnables ont été prises pour minimiser l’impact de l’exposition à l’eau des systèmes Afilias.
Les supports contenant des informations sensibles sont stockés dans les locaux d’Afilias avec des contrôles d’accès physiques et logiques appropriés, conçus pour limiter l’accès au personnel autorisé.
Les documents, matériaux et supports sensibles sont déchiquetés ou rendus illisibles avant leur élimination.
Afilias effectue des sauvegardes de routine des données critiques du système et maintient une sauvegarde hors site auprès d’un centre de stockage tiers cautionné.
4.2. Contrôles procéduraux
Afilias fournit au moins deux équipes opérationnelles ayant accès aux systèmes de signature DNSSEC pour le TLD .Apple et en assumant la responsabilité. Chaque membre de l’équipe détient une partie du mot de passe nécessaire pour accorder l’accès aux systèmes signataires. Toute tâche effectuée sur un système de signature nécessite la présence d’un représentant autorisé de chaque équipe.
4.3. Contrôles du personnel
Afilias exige que tout le personnel participant à un rôle de confiance tel que la fourniture de services DNSSEC travaille pour Afilias depuis au moins un an et possède les qualifications nécessaires pour ce rôle.
Afilias assure la formation de l’ensemble du personnel au moment de l’embauche, ainsi que la formation nécessaire à l’exercice des responsabilités professionnelles. Une formation de recyclage et des mises à jour sont fournies au besoin. Le personnel est renouvelé et remplacé si nécessaire.
Dans des circonstances limitées, les contractants peuvent être autorisés à occuper un rôle de confiance. Tout contractant de ce type est tenu de satisfaire aux mêmes critères que ceux appliqués à un employé d’Afilias occupant un poste comparable.
Afilias fournit au personnel le matériel et la documentation nécessaires à l’exercice de leurs responsabilités professionnelles.
4.4. Procédures d’enregistrement des audits
Tous les événements clés du cycle de vie des domaines dans le TLD .Apple, y compris, mais sans s’y limiter, la création, l’activation, la reconduction, la destruction et l’utilisation, qu’ils soient réussis ou non, sont enregistrés dans un système qui comprend des mécanismes visant à protéger les fichiers journaux contre toute consultation, modification, suppression ou autre altération non autorisée.
L’accès aux installations physiques d’Afilias est enregistré par l’installation et l’enregistrement n’est accessible qu’au personnel autorisé.
Afilias surveille toutes les entrées de journal pour les alertes basées sur les irrégularités et les incidents. L’équipe de sécurité d’Afilias examine tous les enregistrements d’audit au moins une fois par semaine pour détecter toute activité suspecte ou inhabituelle.
4.5. Compromis et récupération après sinistre
En cas de compromission d’une clé ou de désastre de ses services DNSSEC pour le TLD .Apple, l’équipe de réponse aux incidents d’Afilias serait avertie. L’équipe d’intervention dispose de procédures documentées pour l’enquête, l’escalade et l’intervention. L’équipe est chargée d’évaluer la situation, d’élaborer un plan d’action et de le mettre en œuvre avec l’approbation de la direction générale.
Afilias dispose d’installations redondantes pour garantir la disponibilité immédiate d’un site de secours en cas d’indisponibilité de l’un des sites. Les données clés sont clonées, chiffrées et envoyées à une unité de secours à chaud dans la même installation et à deux unités de secours dans l’installation redondante. La capacité de chiffrer et de déchiffrer les données clés réside entièrement dans le module de haute sécurité de chaque système et n’existe nulle part en dehors des systèmes de signature.
4.6. Résiliation de l’entité
Afilias a adopté un plan de résiliation DNSSEC dans le cas où les rôles et responsabilités des services de signature doivent passer à d’autres entités. Afilias se coordonnera avec Apple et toutes les parties concernées afin d’effectuer la transition de manière sécurisée et transparente.
5. Contrôles de sécurité techniques
5.1. Génération et installation de paires de clés
Toutes les paires de clés sont générées sur les systèmes des signataires selon les paramètres définis par l’équipe opérationnelle d’Afilias. Les systèmes de signataires répondent aux exigences de la norme FIPS 140-2 niveau 3. La clé publique est automatiquement insérée dans le fichier de zone TLD en tant qu’enregistrement de ressource DNSKEY dans le cadre de la procédure de signature. Un enregistrement DS est mis à disposition pour soumission à la zone parent (racine).
Le système de signature maintient la séparation entre la KSK et la ZSK et gère l’utilisation de chaque paire de clés comme il convient. Chaque clé est utilisée pour une seule zone.
5.2. Protection de la clé privée et contrôles des modules cryptographiques
Tous les systèmes de signature sont certifiés FIPS 140-2 niveau 3. Aucun accès non chiffré à la clé privée n’est autorisé. L’accès au système de signataires est spécifié dans les articles Procédure et Contrôle du personnel. Plusieurs systèmes de signature redondants sont maintenus. Les systèmes comprennent un mécanisme de sauvegarde des paires de clés et d’autres paramètres opérationnels entre eux de manière sécurisée. Les clés privées ne sont pas autrement sauvegardées, mises sous séquestre ou archivées. Lorsqu’une clé privée est désactivée, elle est détruite par le système de signature.
Une équipe de confiance a le pouvoir de créer, d’activer et de désactiver des paires de clés et assume cette responsabilité conformément aux politiques et procédures documentées.
5.3. Contrôles de sécurité informatique
Afilias s’assure que les systèmes qui conservent les logiciels et les fichiers de données clés sont des systèmes fiables et protégés contre les accès non autorisés. En outre, Afilias limite l’accès aux serveurs de production aux personnes ayant une raison commerciale valable pour un tel accès. Les utilisateurs d’applications générales n’ont pas de comptes sur les serveurs de production.
5.4. Contrôles de sécurité réseau
Les systèmes de signature sont placés dans les systèmes de production d’Afilias, qui sont logiquement séparés de tous les autres systèmes. L’utilisation de mécanismes normaux de sécurité du réseau, tels que les coupe-feu, atténue les menaces d’intrusion; seuls les utilisateurs à rôle restreint sont autorisés à accéder aux systèmes de production, et leur travail est consigné.
5.5. Horodatage
Les systèmes signataires synchronisent en toute sécurité leurs horloges système avec une source de temps fiable au sein du réseau Afilias.
5.6. Contrôles techniques du cycle de vie
Les applications DNSSEC développées et mises en œuvre par Afilias sont conformes à ses procédures de développement et de gestion des changements. Tous les logiciels sont traçables à l’aide de systèmes de contrôle de version. Les mises à jour de logiciels en production font partie d’un mécanisme de mise à jour de paquets, contrôlé par un accès de rôle restreint et mis à jour par des recettes automatisées. Toutes les mises à jour et tous les correctifs font l’objet d’une vérification complète avant d’être déployés.
Afilias utilise une solution tierce sur ses systèmes de signature, où les mises à jour sont testées dans un environnement de laboratoire sécurisé avant d’être déployées.
6. Signature de zone
6.1. Longueurs de clé et algorithmes
Clé de signature de clé :
Afilias utilise une longueur de clé de 2048 bits avec RSA comme algorithme de génération.
Clé de signature de zone :
Afilias utilise une longueur de clé de 1024 bits avec RSA comme algorithme de génération.
6.2. Déni d’existence authentifié
Le déni d’existence authentifié sera fourni par l’utilisation des enregistrements NSEC3 comme spécifié dans
RFC 5155.
6.3. Format de signature
SHA1, en utilisant RSA.
6.4. Renouvellement de la clé de signature de zone
Afilias déploiera le ZSK avec un schéma de pré-publication tel que décrit dans le RFC 4641, article 4.2.1.1. Le renouvellement des ZSK est effectué une fois par mois.
6.5. Renouvellement de la clé de signature de clé
Afilias déploiera le KSK avec un schéma de double signature tel que décrit dans le RFC 4641, article 4.2.1.2. Il n’y a pas de fréquences de renouvellement de KSK prévues pour le moment.
6.6. Durée de vie de la signature et fréquence de re-signature
Les zones sont signées une fois tous les 8 ou 9 jours (4 fois par mois), avec une durée de vie de la signature de 20 jours. Jitter est introduit pour éviter les attaques présumées lors de la signature.
6.7. Vérification du jeu de clés de signature de zone
La vérification du jeu de clés de signature de zone s’effectue en validant les données de clé publique contenues dans l’enregistrement de signature de clé.
6.8. Vérification des enregistrements de ressources
Toutes les signatures RRset sont vérifiées avant publication.
6.9. Durée de vie des enregistrements de ressources
DNSKey : 15 minutes
NSEC3 : SOA minimum (24 heures
Signataire de délégation (DS) : 24 heures
RRSIG : varie en fonction du RR couvert
7. Audit de conformité
7.1. Fréquence de l’audit de conformité de l’entité
Afilias a l’intention de mener des audits de conformité liés à ses services DNSSEC généraux au moins tous les deux ans.
7.2. Identité/qualifications de l’auditeur
L’auditeur des audits de conformité d’Afilias sera une entité qui maîtrise les technologies qu’elle contrôle et qui est indépendante d’Afilias.
7.3. Relation de l’auditeur avec la partie auditée
Les auditeurs doivent être indépendants d’Afilias.
7.4. Sujets couverts par l’audit
Contrôles de l’environnement, des réseaux et des logiciels, opérations, pratiques de gestion clés et opérations.
7.5. Mesures prises par suite de l’écart
Tout écart identifié lors de l’audit donnera lieu à la création d’une carte d’action, qui énumère les actions nécessaires à la résolution de chaque écart. La direction d’Afilias concevra et mettra en œuvre des mesures d’atténuation pour combler les lacunes identifiées.
7.6. Communication des résultats
Afilias fournira les résultats sur demande en contactant le centre de support client d’Afilias. Elles sont accessibles via :
Téléphone : +1 416 646-3306
Courriel : support@afilias.info
8. Affaires juridiques
Le présent DPS doit être interprété conformément aux lois internes de l’Irlande et régi par celles-ci, sans donner effet à une règle de choix de la loi qui entraînerait l’application des lois d’une juridiction autre que les lois internes de l’Irlande.
Les documents suivants sont considérés comme confidentiels :
Clés privées
Informations nécessaires pour récupérer/retrouver les clés privées
Plans de reprise après sinistre (DRP)
Tous les détails opérationnels relatifs à la gestion et à l’administration des clés DNS, y compris, mais sans s’y limiter, les détails relatifs au réseau, aux logiciels et au matériel.
Apple et Afilias ne fournissent aucune garantie, implicite ou explicite, et n’assument aucune responsabilité légale pour toute procédure ou fonctionnalité au sein de ce DPS. Apple et Afilias ne sont pas responsables des dommages financiers ou des pertes résultant de l’utilisation des clés, ou de toute autre responsabilité. Toutes les questions ou préoccupations juridiques doivent être envoyées à l’adresse suivante : atld@apple.com.