Résumé
- Une autorisation d’origine de route n’est pas une déclaration autonome. Elle n’est acceptée qu’à travers un chemin de certificat valide enraciné dans une ancre de confiance d’un RIR. L’AC parente peut émettre, remplacer, réduire ou révoquer le certificat sous lequel les ROA d’un opérateur sont signées.
- L’enregistrement et la certification sont délibérément alignés. Cela permet à la déclaration cryptographique de refléter les enregistrements de ressources actuels, mais cela signifie aussi qu’une décision de transfert, une erreur de statut contractuel, une ordonnance judiciaire ou une action de compte peut modifier l’ensemble des autorisations de route vues par les parties dépendantes.
- La révocation n’émet pas une commande vers la table de routage mondiale. Une ROA perdue peut faire passer une annonce àNotFound, tandis qu’une autorisation modifiée ou concurrente peut la rendreInvalid. Les réseaux appliquent alors leurs propres politiques de routage. L’effet est distribué, variable et potentiellement grave.
- L’incident des ressources historiques de décembre 2020 au RIPE NCC a démontré le mécanisme de propagation: une erreur de statut contractuel a réduit les certificats, supprimé les ROA hébergées et fait disparaître ou surestimer les ROA déléguées. C’est la preuve d’un véritable chemin de contrôle, pas la preuve d’un taux de défaillance universel.
- Le RPKI délégué donne à l’opérateur sa propre clé de signature et un contrôle opérationnel sur son AC enfant. Il ne supprime pas le parent RIR. Le parent détermine toujours l’ensemble des ressources certifiées et peut révoquer le certificat enfant dans des conditions définies.
- Une gouvernance plus forte devrait inclure des motifs de révocation prospectifs, une notification basée sur les risques, des aperçus des modifications lisibles par machine, des plans de transfert de typemake-before-break, une restauration d’urgence, des motifs écrits, un examen indépendant et une comptabilité publique des incidents. Les exclusions de responsabilité ne doivent pas se substituer à la prévention et aux recours.
- Number Resource Society peut contribuer de manière constructive en comparant les règles des AC parentes, en publiant des listes de vérification de continuité et en représentant les petits détenteurs dans les débats de politique technique. Son plaidoyer ne confère pas en soi une autorité de certification ni ne prouve un arrangement de confiance alternatif.
Le paquet décisif est évalué loin du registre
Considérons une annonce ordinaire d’un préfixe depuis le système autonome d’un opérateur. L’opérateur a configuré BGP correctement. Ses fournisseurs de transit reçoivent la route. Ailleurs, cependant, un validateur de partie dépendante a récupéré le matériel RPKI, construit un ensemble d’autorisations d’origine de route validées et transmis les charges utiles résultantes aux routeurs. Ces routeurs comparent le préfixe et l’AS d’origine avec l’ensemble de charges utiles. L’annonce peut êtreValid,InvalidouNotFound. Chaque réseau applique ensuite sa propre politique.
Le registre n’est pas sur le chemin des paquets. Il n’appuie pas sur un bouton qui retire la route de chaque routeur. Pourtant, il se situe au-dessus des preuves cryptographiques utilisées dans cette décision distribuée. Si le chemin de certificat vers la ROA de l’opérateur cesse d’être valide, cette ROA ne contribue plus à une charge utile valide. Si une autre autorisation couvrante demeure, la route peut devenirInvalid. S’il n’en reste aucune, elle deviendra généralementNotFound. Un réseau qui rejette les routesInvalidpeut alors refuser l’annonce; un réseau qui accepte les routesNotFoundpeut continuer à la transporter.
Cette séquence est le mécanisme qui compte. L’événement administratif se produit au niveau de l’AC parente. Les dépôts distribuent les objets modifiés. Les validateurs rafraîchissent leurs vues locales. Les routeurs reçoivent de nouvelles données de validation. Les politiques de réseau indépendantes convertissent ces données en conséquences d’accessibilité.
Les lacunes et les caches dans cette chaîne importent. Différents validateurs se rafraîchissent à des moments différents. Les opérateurs peuvent conserver des données pendant un problème de dépôt. La politique des routeurs n’est pas uniforme. Il n’y a aucune base honnête pour affirmer qu’un seul événement de certificat déconnecte instantanément un préfixe partout. Il n’y a pas non plus de raison de traiter la révocation comme une modification administrative anodine. L’architecture a été conçue pour que le statut cryptographique puisse influencer le routage. La gouvernance doit prendre cette influence au sérieux sans en exagérer l’uniformité.
La signature de l’opérateur est conditionnelle
L’histoire attrayante du RPKI est le contrôle par le titulaire. Un détenteur d’adresses autorise un AS d’origine en créant une ROA. La cryptographie permet aux autres de vérifier que la déclaration provient d’une clé associée aux ressources certifiées. C’est une correction utile à un système de routage où les annonces BGP ne comportent autrement aucune preuve intégrée que l’origine est autorisée.
Mais la clé du titulaire n’est pas souveraine. Le RFC 6480 décrit une hiérarchie alignée sur l’allocation des ressources de numéros Internet. Un certificat de ressources lie une clé publique à des blocs d’adresses IP et à des numéros d’AS. La validité d’un objet signé dépend d’un chemin de certification vers une ancre de confiance choisie, de la validité du certificat, des informations de révocation et des ressources autorisées à chaque niveau.
Un opérateur utilisant une AC déléguée contrôle la clé privée de cet enfant. Un parent ne peut pas utiliser cette clé pour contrefaire la signature de l’enfant. Cette distinction est substantielle. Elle protège l’intégrité de l’acte de signature propre de l’opérateur et permet l’automatisation locale, la sous-délégation et des choix de gestion des clés.
Le parent conserve un pouvoir différent. Il peut émettre le certificat enfant, modifier les ressources couvertes par un certificat de remplacement ou placer le certificat sur une liste de révocation. Une signature enfant portant sur des ressources qui ne sont plus soutenues par un chemin parent valide ne peut pas se valider elle-même par une simple insistance mathématique. Le parent n’a pas besoin de posséder la clé de l’enfant pour que les assertions de l’enfant cessent de compter.
Le RPKI hébergé réduit encore la distinction. Le RIR exploite l’AC du titulaire et stocke la clé privée dans son infrastructure. Le titulaire choisit ses intentions de routage via un portail ou une interface, tandis que le service assure la signature, le renouvellement et la publication. La ROA qui en résulte peut exprimer fidèlement les instructions du titulaire, mais la garde cryptographique et l’autorité parente se trouvent au sein de la même institution. La commodité modifie donc la répartition du contrôle, et pas seulement la quantité de travail technique.
La vérité d’enregistrement devient une portée cryptographique
Le RPKI n’a pas été attaché accidentellement aux enregistrements des RIR. Sa promesse centrale est qu’un certificat reflète une délégation actuelle de ressources de numéros. La déclaration de pratique de certification d’APNIC explique clairement l’arrangement: les organisations qui émettent des certificats sont aussi les organisations qui effectuent la délégation, et sont donc autoritaires quant à cette liaison. La documentation du RIPE NCC indique que ses certificats de ressources sont liés à des organisations enregistrées et changent automatiquement lorsque des ressources sont ajoutées, retournées, déplacées ou transférées.
Cet alignement empêche un ancien titulaire de s’appuyer indéfiniment sur un ancien certificat après un transfert légitime. Il permet au bénéficiaire d’établir de nouvelles autorisations et permet aux parties dépendantes de rejeter les revendications périmées. Sans un parent capable de mettre à jour la portée, le RPKI protégerait les anciennes intentions de routage au détriment de l’enregistrement actuel.
Le même alignement donne une seconde vie aux enregistrements administratifs. Un nom, un statut ou une relation contractuelle dans les systèmes de registre n’est plus utilisé seulement pour savoir qui reçoit un service ou ce qui apparaît dans RDAP. Il peut déterminer quels préfixes entrent dans un certificat de ressources. Ce certificat détermine quels objets signés peuvent être validés. Le chemin de l’enregistrement jusqu’à la preuve de routage est intentionnel.
La question de gouvernance n’est pas de savoir s’il faut rompre ce chemin. Cela irait à l’encontre du but de la certification des ressources. Elle est de savoir comment limiter les erreurs et les actions discrétionnaires là où le chemin commence. Si une ressource est retirée après un transfert terminé, l’autorisation de l’ancien titulaire doit cesser. Si une discordance temporaire de compte, une facture contestée ou une classification juridique erronée produit le même résultat sans garanties adéquates, le mécanisme de sécurité a transporté un défaut administratif vers une couche plus conséquente.
La distinction entre correction précise et application prématurée doit être faite avant la révocation. La cryptographie peut montrer qu’un parent a signé un nouveau certificat ou inscrit un ancien sur une CRL. Elle ne peut pas montrer que le personnel a interprété correctement une fusion, que la notification a atteint le bon responsable, qu’une correspondance de sanctions était fondée ou qu’un transfert contesté méritait un effet immédiat. Ce sont des questions institutionnelles entourant l’acte signé.
La révocation n’a pas un seul résultat
Le mot révocation suggère un interrupteur unique. Le résultat de routage est plus conditionnel. Le RFC 6811 définit trois états de validation d’origine de route. Une route estNotFoundlorsqu’aucune charge utile validée ne la couvre. Elle estValidlorsqu’au moins une charge utile la couvre et correspond à la route. Elle estInvalidlorsqu’au moins une charge utile la couvre mais qu’aucune ne correspond.
Supposons qu’un titulaire ait une ROA exacte pour un préfixe et que le chemin de certificat disparaisse. Une fois que les validateurs cessent d’accepter cette ROA, il peut ne rester aucune charge utile couvrante. La route passe alors deValidàNotFound. De nombreux réseaux acceptentNotFoundparce que le déploiement du RPKI est incomplet et que rejeter chaque route non certifiée serait encore destructeur. L’effet immédiat peut donc être une perte de protection par validation plutôt qu’une perte d’accessibilité.
Supposons maintenant qu’une ROA valide plus large demeure sous une autre AC, ou qu’une autorisation de remplacement couvre le préfixe avec une origine ou une longueur maximale différente. La route peut devenirInvalid. Les réseaux qui rejettent les routesInvalidpeuvent la laisser tomber. D’autres peuvent baisser la préférence, la baliser pour surveillance ou l’accepter. Le RFC 7115 rend la politique finale locale; le statut de validation informe le routage plutôt que de dicter une réponse universelle unique.
Cette variabilité n’est pas une raison de complaisance. Une route n’a pas besoin de disparaître partout pour que le préjudice soit matériel. Le rejet sélectif par de grands fournisseurs de transit, des réseaux cloud, des pairs du secteur public ou des plateformes de contenu peut fragmenter l’accès. Un préfixe qui devientNotFoundperd l’assurance sur laquelle les clients peuvent compter. Un opérateur peut également être confronté à un besoin urgent de recréer des ROA sous un nouveau certificat tandis que les caches convergent à des vitesses différentes.
Le langage de la gouvernance devrait donc éviter deux erreurs. Il ne doit pas dire que le RIR contrôle directement chaque route. Il ne doit pas non plus affirmer qu’un changement de certificat n’affecte qu’une étiquette de sécurité optionnelle. Le parent contrôle une entrée dans les décisions prises à travers de nombreux réseaux autonomes. La nature distribuée de l’action finale ne réduit ni le devoir de diligence du parent ni le besoin de planification de la continuité pour l’opérateur.
Le choix de conception est apparu avant l’utilisation opérationnelle de masse
L’arrangement moderne a pris forme au fil des années. Les travaux des RIR et de l’IETF ont précédé la publication en 2012 des principaux documents d’architecture du RPKI. Une proposition de politique RIPE numérotée 2008-08 a débattu de la manière dont les certificats devaient refléter les ressources enregistrées et a déclaré que les certificats refléteraient à tout moment le statut d’enregistrement, bien que cette proposition ait été retirée par la suite. APNIC rendait déjà compte de travaux sur la certification des ressources en 2009. Il ne s’agissait pas simplement de discussions sur un meilleur chiffrement.
Elles concernaient l’institution qui attesterait du contrôle des ressources.
Les services de production sont arrivés vers 2011. Le RIPE NCC a lancé un service de certification de ressources hébergé au début de cette année-là, initialement avec un ensemble de fonctionnalités limité. Son annonce de lancement présentait le service comme un moyen de rendre le registre plus robuste et le routage plus sûr. Plus tard en 2011, il a proposé une preuve de concept de certification locale dans laquelle un opérateur pouvait exécuter sa propre AC avec le RIPE NCC comme parent. LACNIC enregistre un service hébergé depuis janvier 2011 et un service délégué depuis décembre 2019. Le calendrier et les capacités régionales différaient.
Les documents fondamentaux de l’IETF publiés en 2012 ont séparé les fonctions proprement sur le papier. Le RFC 6480 décrivait l’architecture. Le RFC 6482 spécifiait les ROA. Le RFC 6483 expliquait la validation d’origine de route. Le RFC 6492 spécifiait les échanges par lesquels une AC enfant demande des certificats et un parent les émet ou les révoque. Des travaux ultérieurs ont ajouté des protocoles de publication et analysé les actions adverses d’une AC.
Le compromis institutionnel était pragmatique. Les RIR tenaient déjà les registres de ressources, authentifiaient les titulaires et coordonnaient l’unicité. Les placer au-dessus des certificats de ressources évitait de créer une autorité mondiale de titres sans rapport. Le service hébergé abaissait le coût d’entrée pour les opérateurs qui ne voulaient pas gérer une AC ou un dépôt. La délégation préservait une voie pour les organisations nécessitant un contrôle plus fort des clés.
Ce compromis mérite d’être salué. Il mérite aussi une révision constitutionnelle périodique. Une fonction qui a commencé comme un service de sécurité optionnel fournit désormais des preuves consommées par davantage de réseaux et de systèmes automatisés. À mesure que la dépendance augmente, les conditions de service écrites pour l’expérimentation peuvent devenir inadéquates pour une infrastructure dont les erreurs peuvent modifier l’accessibilité. Le test pertinent n’est pas de savoir si la conception originale était malveillante. Il est de savoir si la gouvernance a mûri avec les conséquences opérationnelles.
L’AC parente est plus qu’un relais technique
Le RFC 6492 donne aux systèmes parent et enfant un langage standard pour lister les ressources, demander l’émission et demander la révocation. Il ne décide pas pourquoi un parent pense qu’une ressource devrait être incluse, si un transfert est terminé ou quel processus devrait précéder un changement involontaire. Le protocole transporte fidèlement une décision prise ailleurs.
C’est courant dans l’infrastructure. Les normes techniques définissent comment une commande est authentifiée et représentée. Elles ne fournissent pas tout le droit public de l’institution autorisée à l’envoyer. Une révocation valablement signée peut encore être prématurée, erronée ou procéduralement injuste. Inversement, un parent peut être obligé de révoquer même lorsqu’un opérateur préférerait un délai, par exemple après une compromission confirmée ou un transfert terminé.
Le RIR exerce donc au moins trois rôles liés. Il tient à jour les informations d’enregistrement. Il décide de l’étendue des ressources que son service de certification attestera. Il exploite, ou parente, des AC qui traduisent cette étendue en objets cryptographiques. Dans le service hébergé, il peut aussi détenir la clé privée de l’utilisateur et publier les objets signés de l’utilisateur.
La concentration des rôles peut améliorer la cohérence. Lorsqu’un transfert se termine, une seule institution peut mettre à jour l’enregistrement, remplacer les certificats et aider les parties à construire de nouvelles autorisations. Elle peut aussi amplifier une erreur. Un changement de statut erroné n’a pas besoin d’attendre qu’une organisation distincte agisse; l’automatisation peut le porter directement dans l’émission de certificats et l’état du dépôt.
La gouvernance devrait correspondre au rôle concentré. Le parent devrait documenter la correspondance entre les événements d’enregistrement et les événements de certificat. Il devrait distinguer les changements qui peuvent se produire automatiquement de ceux qui exigent une confirmation humaine. Il devrait identifier qui peut autoriser une révocation d’urgence, comment fonctionne le double contrôle, quelles preuves sont conservées et comment un opérateur peut contester une erreur.
Une déclaration de pratique de certification peut décrire la pratique technique; les conditions de service et la politique communautaire doivent aussi définir la légitimité de la décision.
Un incident de 2020 a révélé le chemin de propagation
Le 17 décembre 2020, le RIPE NCC a signalé une erreur concernant les ressources historiques. Une erreur de programmation dans la mise en œuvre d’un élément de registre sans rapport a mis le statut contractuel des ressources historiques affectées ànone. Ces ressources sont alors devenues inéligibles pour la certification.
Les conséquences ont suivi la hiérarchie. Les certificats de ressources de 36 AC ont été mis à jour pour contenir moins de ressources certifiables. Quarante et une ROA hébergées, produisant 202 charges utiles validées, ont été supprimées de 24 AC. Les certificats émis aux AC déléguées affectées ont rétréci; selon leur logiciel, leurs ROA ont disparu ou ont été rejetées pour surestimation. Le RIPE NCC a restauré le statut contractuel de 105 ressources affectées et a recréé les ROA hébergées. Il a été conseillé aux opérateurs délégués de vérifier s’ils devaient recréer les leurs.
Les chiffres doivent être maintenus à l’intérieur de l’événement. Ils ne permettent pas d’établir un taux d’erreur annuel, un dénominateur mondial ou une mesure comparative de défaillance pour les RIR. L’analyse post-mortem ne prouve pas non plus que chaque route affectée est devenue inaccessible. L’état de validation et la politique du réseau déterminent ce résultat.
Ce que l’incident prouve, c’est le mécanisme. Une erreur de statut contractuel dans l’environnement d’enregistrement s’est propagée dans la portée des certificats et le matériel d’autorisation de route. Les utilisateurs hébergés et délégués ont connu des obligations de récupération différentes. Le RIR pouvait recréer les ROA hébergées qu’il exploitait, tandis que les titulaires délégués pourraient avoir besoin d’agir au sein de leurs propres AC.
Le RIPE NCC a déclaré qu’il améliorerait l’assurance qualité, les tests d’acceptation et l’analyse d’impact basée sur les risques. Ce sont des mesures raisonnables. La leçon plus large est que les changements près de la frontière enregistrement-certification méritent le même soin que les changements sur une plateforme de routeurs. Les tests devraient inclure le diff de certificat attendu, l’impact sur les ROA et les charges utiles validées, les effets de transfert, le comportement du client délégué et le chemin de restauration. Un changement de registre qui semble administratif peut avoir un rayon d’action cryptographique.
Le transfert est le cas ordinaire le plus difficile
La compromission d’urgence est dramatique, mais le transfert est le test de gouvernance récurrent. Le registre doit cesser de certifier l’ancien titulaire et commencer à certifier le bénéficiaire. Le routage peut devoir continuer tout au long. L’AS d’origine peut rester le même, changer une fois ou changer par étapes. Le vendeur, l’acheteur, le courtier, le fournisseur de transit et le RIR peuvent chacun contrôler une partie différente de la séquence.
Les directives du RIPE NCC indiquent que lorsqu’une ressource est déplacée ou transférée, l’organisation enregistrée et le certificat changent; les ROA sous-jacentes sont supprimées et doivent être recréées. Sa documentation sur l’hébergement indique également que les ressources sont automatiquement ajoutées ou retirées des certificats lorsque les droits enregistrés changent. Ce comportement protège le bénéficiaire des revendications périmées de l’ancien titulaire. Il crée une dépendance de basculement qui devrait être traitée comme faisant partie du règlement.
Un plan de transfert de haute qualité commence avant la mise à jour du registre. Les parties devraient inventorier chaque ROA et annonce réelle, y compris les plus spécifiques, les origines multiples et les fournisseurs de mitigation temporaires. Elles devraient convenir des autorisations qui doivent exister après la clôture, de qui les créera, de la manière dont l’accès à l’AC du bénéficiaire sera confirmé et de la façon dont les validateurs seront observés. Le RIR devrait fournir un aperçu lisible par machine de ce qui sera retiré et de ce que le bénéficiaire peut créer.
Le principe estmake before breakchaque fois que l’architecture le permet. L’autorisation sortante devrait rester valide jusqu’à ce que l’autorisation entrante soit publiée et récupérable, à moins que la sécurité ou la loi n’exige un retrait immédiat. Lorsque les systèmes régionaux ne peuvent pas prendre en charge une certification chevauchante, la limitation doit être explicite et le basculement doit avoir un retour en arrière testé ou une voie de restauration accélérée.
Tous les chevauchements ne sont pas sûrs. Certifier deux parties pour les mêmes ressources peut créer des revendications concurrentes ou étendre le pouvoir de l’ancien titulaire. Une transition limitée peut néanmoins être plus sûre qu’une lacune non annoncée. La conception de la politique doit spécifier la durée, les objets autorisés, l’approbation, la surveillance et l’expiration automatique. La continuité du transfert n’est pas une demande de préserver des droits obsolètes indéfiniment; c’est une demande d’ordonnancer des droits valides sans dommage de routage évitable.
La notification doit arriver avant l’événement cryptographique lorsque c’est possible
La notification traditionnelle est souvent un courriel indiquant qu’un statut de compte a changé. C’est trop faible lorsque l’événement peut modifier la portée du certificat. Le message peut atteindre un contact de facturation plutôt que l’équipe de sécurité du routage. Il peut décrire un problème contractuel sans énumérer les préfixes, certificats ou ROA à risque. Il peut arriver après que les systèmes automatisés ont déjà agi.
La notification devrait être basée sur le risque. Une compromission confirmée de clé privée peut justifier une révocation immédiate, suivie d’une notification rapide et d’un remplacement. Un transfert volontaire terminé suit un calendrier convenu. Un paiement contesté, une correspondance de sanctions, une violation de politique suspectée ou une succession d’entreprise incertaine permet généralement une période d’avertissement à moins qu’une menace concrète n’exige l’urgence.
Pour une action non urgente, l’opérateur devrait recevoir un aperçu précis: ressources affectées, identifiants de certificat actuels, objets signés qui cesseront d’être valides, heure d’effet, motif, autorité, remèdes disponibles et voie de recours. L’aperçu devrait être disponible dans le portail et sous une forme signée lisible par machine afin que les grands opérateurs puissent le comparer avec les intentions de routage.
La livraison devrait utiliser des contacts opérationnels et juridiques tenus à jour indépendamment, et pas seulement le compte d’identification qui peut être contesté ou compromis. L’accusé de réception devrait être enregistré, mais l’absence d’accusé de réception ne devrait pas créer un veto sans fin. L’escalade peut se dérouler par des canaux répétés et un calendrier publié.
La période de notification devrait permettre une correction. Si le registre a attaché la mauvaise organisation, mal lu un document de fusion ou mis en correspondance la mauvaise partie sanctionnée, le personnel doit pouvoir suspendre l’action non urgente pendant que les preuves sont examinées. Si l’action est correcte, l’opérateur gagne du temps pour préparer de nouvelles ROA ou informer les clients d’un changement d’état de validation.
Une bonne notification n’est pas une promesse que chaque route resteValid. C’est un transfert discipliné entre l’autorité administrative et les opérations de réseau. Elle réduit la surprise, crée un enregistrement probant et rend possible une responsabilité ultérieure.
Les motifs et le réexamen sont des contrôles de sécurité
Les institutions traitent parfois la procédure régulière comme un retard imposé à la sécurité technique. Ici, elle fait partie de la sécurité. Un parent qui peut révoquer rapidement a besoin de contrôles contre la prise de contrôle de compte, l’erreur interne, les fausses revendications juridiques et les changements d’enregistrement mal compris. Des motifs écrits et un examen indépendant forcent la décision à être liée à des preuves et à l’autorité.
Les motifs de révocation devraient être prospectifs et limités. Les exemples incluent la compromission confirmée de clé, la demande du titulaire, l’incohérence du certificat avec un changement d’enregistrement terminé, l’expiration de la relation de service pertinente, une ordonnance juridique contraignante, une fraude avérée, ou la défaillance persistante d’une AC déléguée en vertu d’une politique publiée. Des expressions larges telles que « raisons opérationnelles » devraient être accompagnées de seuils, de rôles d’approbation et de devoirs de restauration.
Le réexamen doit correspondre à l’échelle de temps. Un appel ordinaire décidé des mois plus tard ne peut pas protéger un basculement de route qui se produit cet après-midi. Le premier niveau devrait être un contrôle technique et d’enregistrement rapide par du personnel non responsable de l’action initiale. Un deuxième niveau peut examiner les litiges contractuels ou de politique. L’action d’urgence peut rester en vigueur pendant le réexamen lorsque la certification continue crée un risque sérieux, mais l’institution devrait expliquer pourquoi.
L’examinateur a besoin de plus que l’enregistrement actuel. Il devrait voir l’historique des événements: qui a changé le statut d’enregistrement, quelle règle a été appliquée, quel diff de certificat en a résulté, quelles notifications ont été envoyées, quelles approbations ont été obtenues et quelles options de restauration existent. Les opérateurs devraient recevoir autant de ce raisonnement que la sécurité et la vie privée le permettent.
La publication de classes de décisions anonymisées peut améliorer la cohérence. Les membres peuvent voir à quelle fréquence les motifs d’urgence et de non-urgence sont utilisés, à quelle vitesse les erreurs sont restaurées et si la politique régionale produit des lacunes de transfert récurrentes. Les rapports agrégés ne doivent pas inventer de précision lorsque les événements sont rares, mais le silence laisse la communauté incapable d’évaluer un pouvoir concentré.
La délégation réduit une dépendance, pas la hiérarchie
Le RPKI délégué est parfois présenté comme la réponse au contrôle du RIR. C’est une réponse partielle. L’opérateur génère et protège sa clé privée, exécute son logiciel d’AC et décide quels objets signer. Il peut intégrer les changements d’autorisation avec les opérations de réseau, gérer les ressources de plusieurs parents dans un seul système et potentiellement émettre des certificats enfants.
Ces contrôles sont importants. Une panne du portail de service hébergé n’empêche pas le titulaire délégué de créer une nouvelle ROA. Le personnel du RIR ne peut pas utiliser la clé privée de l’enfant pour signer une déclaration différente. Le titulaire peut conserver son propre historique signé des événements et choisir un service de publication distinct.
Le parent contrôle toujours le certificat qui rend l’enfant autoritaire pour un ensemble de ressources. Le RFC 6492 permet au parent d’émettre et de révoquer des certificats. Si l’enregistrement change, le parent peut fournir un certificat avec moins de ressources. Si l’enfant continue de signer l’ancienne portée, les validateurs rejetteront la surestimation. La délégation sépare donc la garde de signature de l’autorité d’enregistrement; elle n’abolit pas l’autorité d’enregistrement.
RIPE-847 rend cela explicite dans un autre contexte. Depuis octobre 2025, si le RIPE NCC ne peut pas découvrir et valider le manifeste actuel et la CRL d’une AC déléguée pendant plus de trois mois, le certificat de ressources doit être révoqué après des efforts raisonnables pour découvrir le matériel actuel et notifier l’opérateur. La politique traite des AC persistamment non fonctionnelles et de la charge qu’elles imposent aux parties dépendantes, pas des imperfections brèves.
C’est une fonction parente légitime avec des conséquences de gouvernance. Un opérateur délégué gagne le contrôle et assume des devoirs. Le parent gagne un motif de révocation et doit l’appliquer de manière prévisible. La surveillance doit éviter les faux positifs causés par les propres problèmes d’accessibilité du parent. La notification devrait identifier les contrôles échoués et permettre au titulaire de démontrer une publication valide. La restauration devrait être documentée.
La délégation est mieux comprise comme une séparation constitutionnelle au sein de la hiérarchie. Elle empêche le parent de tout faire, mais pas de ne rien faire.
Les dépôts forment une deuxième surface de contrôle
Les certificats et les ROA doivent atteindre les parties dépendantes. Les dépôts RPKI publient des certificats, des listes de révocation, des manifestes et des objets signés. Le RFC 8181 définit un protocole par lequel une AC peut demander à un serveur de publication de publier ou de retirer des objets. Le service hébergé combine normalement l’opération de l’AC et du dépôt. Les titulaires délégués peuvent publier eux-mêmes ou utiliser le service de publication d’un RIR.
Cette distinction importe parce que la possession de la clé de signature et la capacité de distribuer l’objet signé sont des pouvoirs différents. Un titulaire délégué qui utilise la publication chez le parent conserve sa clé mais dépend du dépôt exploité par le parent pour accepter et servir ses objets. Un titulaire qui auto-publie gagne plus de contrôle sur la distribution et prend également la responsabilité d’un service globalement disponible, de manifestes frais, de listes de révocation à jour et de la résilience contre la défaillance opérationnelle.
L’indisponibilité du dépôt ne se traduit pas mécaniquement par un rejet immédiat de la route. Les validateurs mettent en cache le matériel et appliquent des règles pour les dépôts périmés ou indisponibles. Différentes implémentations et paramètres locaux peuvent créer des temporisations différentes. Mais une publication périmée peut empêcher les changements prévus d’atteindre le monde, et des manifestes ou des informations de révocation invalides peuvent entraîner le rejet d’une branche.
La carte institutionnelle devrait donc énoncer quatre contrôles séparément: la portée de l’enregistrement, la certification parente, la signature enfant et la publication. Une organisation peut contrôler un, deux ou trois sans contrôler les quatre. Les contrats et les plans de continuité qui disent seulement que l’opérateur a sa propre clé sont incomplets.
La même séparation améliore l’analyse d’incident. Si une nouvelle ROA n’apparaît pas, la cause peut être une opération de signature enfant échouée, une demande de provisionnement rejetée, une demande de publication échouée, un problème de synchronisation du dépôt ou un cache de partie dépendante. Blâmer le RPKI abstrait obscurcit où l’autorité et la responsabilité se trouvaient réellement.
Les ordonnances judiciaires et les sanctions exigent un pont étroit
Les RIR opèrent en vertu de la loi. Un tribunal peut trancher un litige d’entreprise, ordonner la conservation ou le transfert d’actifs, restreindre un compte ou traiter une fraude alléguée. Les règles de sanctions peuvent interdire le service à une personne listée. Un registre ne peut pas promettre d’ignorer des obligations légales contraignantes parce que la continuité du routage est précieuse.
Le danger réside dans la traduction d’une pression juridique large en action sur les certificats sans un pont défini. Une ordonnance concernant des actions dans une société peut ne pas ordonner au RIR de révoquer un certificat de ressources. Une correspondance de sanctions peut être ambiguë. La créance d’un créancier peut concerner le paiement plutôt que la validité d’une autorisation de route actuelle. L’institution devrait identifier l’acte juridique, la relation de ressource et la réponse conforme la moins perturbatrice.
Lorsque la révocation immédiate est requise, le dossier devrait identifier qui l’a autorisée et pourquoi la notification a été limitée. Lorsque la conservation est autorisée, le RIR pourrait geler le transfert tout en maintenant l’autorisation existante jusqu’à ce qu’un tribunal clarifie le contrôle. Ce choix doit être fondé sur le droit et la politique, pas improvisé par le personnel technique.
Les opérations transfrontalières compliquent le tableau. Un titulaire de ressources, une société mère, un réseau, un RIR et un tribunal peuvent se trouver dans différentes juridictions. Le RPKI ne résout pas les conflits de lois. Sa certitude cryptographique peut même dissimuler une incertitude juridique: les validateurs savent quel chemin de certificat est accepté, pas si le litige derrière une action parente a été correctement résolu.
C’est une autre raison d’éviter de présenter la validation de route comme une preuve de propriété. Les conditions du RIPE NCC nient expressément que ses certificats soutiennent des revendications de propriété. Les certificats de ressources attestent au sein d’un système de coordination. Les tribunaux peuvent utiliser ou examiner cette preuve, mais le certificat n’est pas un titre de propriété universel.
La responsabilité doit suivre le contrôle évitable
Les conditions de service actuelles attribuent souvent une grande partie du risque à l’utilisateur. L’accord publié d’ARIN décrit de larges droits de résiliation, y compris la résiliation immédiate pour plusieurs motifs contractuels, gouvernementaux, techniques et de sécurité, et une voie de quatorze jours pour la résiliation pour quelque raison que ce soit ou sans raison. Il contient également de vastes clauses de non-responsabilité, de renonciation et de libération. Les conditions du RIPE NCC placent l’utilisation aux risques du titulaire et limitent la responsabilité sauf en cas de faute intentionnelle ou de négligence grave.
L’effet juridique de ces dispositions dépend du droit applicable et des faits; un article comparatif ne peut pas décider de leur applicabilité. Leur message institutionnel est néanmoins clair. Les RIR veulent la flexibilité d’exploiter un service de sécurité en évolution sans devenir les assureurs de chaque décision de routage prise ailleurs.
Cette préoccupation est légitime. Le parent ne contrôle pas si un réseau distant rejette les routesInvalid. Il ne peut pas garantir la disponibilité de chaque dépôt délégué ni l’exactitude de la ROA du titulaire. Une responsabilité illimitée pour les dommages indirects pourrait décourager la fourniture d’un service d’intérêt public.
Mais une exonération complète est un mauvais substitut à une responsabilité calibrée. Le risque devrait suivre le contrôle évitable. Le titulaire devrait répondre des intentions de routage incorrectes qu’il soumet, des identifiants non sécurisés et des défaillances dans une AC qu’il exploite. Un fournisseur de publication devrait répondre des devoirs qu’il assume expressément, sous réserve de limites de service raisonnables.
Le parent devrait répondre d’une autorisation gravement déficiente, d’un écart inexpliqué par rapport aux règles de révocation publiées, du non-respect d’une transition promise ou d’un retard évitable dans la restauration de sa propre erreur.
Les recours n’ont pas besoin de commencer par des dommages-intérêts importants. Ils peuvent inclure la restauration d’urgence, des avoirs de frais, une assistance technique financée, la conservation des preuves, une enquête indépendante et la publication des conclusions. Pour une perte grave avérée, un arrangement d’indemnisation plafonné ou un mécanisme d’assurance pourrait être envisagé par chaque communauté régionale. Le point central est que l’institution qui détient le contrôle décisif ne devrait pas être responsable seulement en théorie.
Une charte des actions parentes rendrait le pouvoir lisible
Chaque RIR devrait publier une charte compacte pour les actions à la frontière enregistrement-certification. Elle ne remplacerait pas la politique de certificat technique ni l’accord de service général. Elle dirait à un opérateur ce qui peut arriver à son état de certification et sous quelle autorité.
La charte devrait classer les événements. Les événements volontaires incluent la révocation demandée par le titulaire, le renouvellement de clé et le transfert. Les événements de sécurité incluent la compromission et les demandes d’urgence authentifiées. Les événements d’enregistrement incluent le retour, le transfert et la délégation corrigée. Les événements de conformité incluent les sanctions, les ordonnances judiciaires et la résiliation contractuelle. Les événements opérationnels incluent la publication déléguée persistamment invalide.
Pour chaque classe, la charte devrait indiquer le seuil de preuve, la période de notification, les approbateurs, si lemake-before-breakest disponible, l’effet attendu sur la sécurité du routage, la voie de recours, l’objectif de restauration et les enregistrements conservés. Elle devrait expliquer les différences entre les utilisateurs hébergés et délégués. Elle devrait lister les interfaces par lesquelles les opérateurs peuvent obtenir un inventaire d’objets actuel et prévisualiser un changement de certificat proposé.
La charte devrait aussi définir l’autorité négative: ce que le RIR ne décidera pas via le RPKI. Une AC parente ne devrait pas utiliser la révocation pour punir des critiques politiques licites, régler une dette privée sans rapport avec le service, choisir entre des architectures de réseau concurrentes ou conférer un titre de propriété. Si la politique régionale autorise une action plus large, l’autorité devrait être explicite et susceptible de recours.
Un audit indépendant peut tester si les événements réels suivent la charte. L’échantillonnage devrait se concentrer non seulement sur la protection des clés cryptographiques mais sur l’exactitude des déclencheurs provenant des systèmes d’enregistrement. Les auditeurs devraient examiner l’autorisation, le calendrier, la notification et la récupération. Des résumés publics peuvent divulguer les classes et les constatations de contrôle sans exposer les secrets des titulaires.
Ce n’est pas de la bureaucratie ajoutée à la sécurité. C’est la constitution opérationnelle d’un service de sécurité ayant des effets externes.
Ce que Number Resource Society peut faire sans revendiquer la clé
Number Resource Society plaide publiquement pour un enregistrement précis, le contrôle du titulaire, la participation et une réduction de l’ingérence arbitraire. Ces principes sont pertinents pour une AC parente parce que la meilleure protection contre l’excès de pouvoir n’est pas le déni de la hiérarchie; c’est une utilisation transparente et bornée de la hiérarchie.
NRS peut apporter une contribution concrète en maintenant un index comparatif des actions parentes. Pour chaque RIR, il pourrait enregistrer les motifs publiés de remplacement et de révocation de certificat, les règles de notification, les facilités de transition, les canaux de recours, le langage de responsabilité et les options de publication déléguée. Il pourrait tester si les pages sont compréhensibles pour un petit opérateur et identifier les termes qui laissent les conséquences de routage inexpliquées.
Il pourrait également publier une liste de vérification de continuité de transfert construite autour de l’inventaire des objets, de la préparation du bénéficiaire, des origines multiples, des délégations clients, de l’observation des validateurs et des contacts de retour en arrière. Les petits membres manquent souvent d’une équipe dédiée aux clés publiques. Une liste de vérification neutre et un exercice sur table traduiraient le risque institutionnel en préparation pratique sans demander à NRS d’exploiter une AC.
Enfin, NRS pourrait recueillir les expériences documentées des membres selon des règles de preuve strictes: date, service régional, type d’événement, notification, effet sur l’état de validation, récupération et incertitude non résolue. L’agrégation devrait éviter de revendiquer un taux sans dénominateur connu. La valeur serait de révéler les modes de défaillance récurrents et les lacunes de politique.
Ces rôles sont positifs mais bornés. La charte et les pages explicatives de NRS sont un plaidoyer de première partie. Elles ne prouvent pas que NRS est une ancre de confiance reconnue, un registrar autorisé, un arbitre neutre ou un opérateur de certificat techniquement supérieur. Sa position la plus forte est celle d’une institution civique autour de la hiérarchie: rendre les règles comparables, aider les titulaires à se préparer et pousser les communautés régionales à relier le pouvoir cryptographique au devoir procédural.
Les objections sont sérieuses mais gérables
Une objection est que la notification préalable aide un attaquant disposant d’une clé compromise. C’est pourquoi la discipline proposée distingue l’action de sécurité d’urgence du changement administratif ordinaire. La révocation immédiate peut rester disponible lorsque le retard prolongerait une menace concrète. La double autorisation, le remplacement rapide et l’examen après action rendent le pouvoir d’urgence plus sûr sans le rendre lent.
Une deuxième objection est que lemake-before-breakpeut certifier deux prétendants. Parfois, c’est possible, et un chevauchement négligent affaiblirait le système. La réponse n’est pas un chevauchement universel. C’est un outil de transition étroit utilisé seulement lorsque l’autorité d’enregistrement, le consentement des parties et les contraintes techniques le soutiennent, avec une expiration courte et une surveillance visible. Lorsque le chevauchement est inacceptable, une pré-validation et un basculement convenu peuvent encore réduire l’écart.
Une troisième objection est que les opérateurs acceptent déjà les conditions de service. Le consentement aux conditions n’élimine pas la dépendance institutionnelle. De nombreux opérateurs n’ont qu’un seul parent régional pour les ressources qu’ils détiennent légitimement. La capacité de refuser le RPKI n’est pas une réponse complète dès lors que les clients et les pairs valorisent de plus en plus la validation. La gouvernance par les membres devrait améliorer les conditions plutôt que de prétendre que la relation est un achat concurrentiel ordinaire.
Une quatrième objection est que le système de routage distribué protège les utilisateurs parce que les réseaux choisissent leurs propres politiques. Il réduit certes le contrôle direct par l’AC. Il signifie aussi que les préjudices peuvent être inégaux et difficiles à mesurer. Une conséquence fragmentée renforce les arguments en faveur d’une télémétrie précise des incidents; elle n’excuse pas une erreur évitable du parent.
L’objection finale est le coût. Les outils de prévisualisation, l’examen rapide et l’audit nécessitent du personnel. Pourtant, le RIR exploite déjà des systèmes d’authentification, d’enregistrement, de transfert et de certification. Ajouter des garde-fous à l’interface entre eux est moins coûteux que de traiter chaque erreur comme un accident imprévisible. Les frais pour les services de certification devraient soutenir les contrôles qui les rendent fiables.
Mesurer la frontière, pas un commutateur global mythique
La responsabilité a besoin de mesures, mais pas de pourcentages mondiaux inventés. Les RIR peuvent publier des décomptes de remplacements de certificats parents par cause, de révocations d’urgence, de révocations non urgentes, de basculements de transfert, d’événements de restauration et d’actions d’AC déléguées. Ils peuvent rapporter la médiane et la fourchette pour la notification et la récupération lorsque la taille de l’échantillon le permet, tout en supprimant les détails qui identifieraient un titulaire.
Les mesures techniques devraient suivre si une action correspondait à son aperçu, si les objets affectés ont été recréés, si les clients délégués ont nécessité une récupération manuelle et si la distribution par le dépôt a atteint les objectifs déclarés. Les mesures d’enregistrement devraient enregistrer combien d’événements impactant les certificats provenaient de données corrigées plutôt que d’une action planifiée du titulaire.
Des observateurs indépendants peuvent mesurer les changements RPKI visibles, mais ils ne peuvent pas déduire de manière fiable chaque cause à partir des objets publics. Une ROA absente peut être intentionnelle. Un certificat réduit peut suivre un transfert valide. La télémétrie publique devrait donc être combinée avec des enregistrements institutionnels audités plutôt que remplacée par des suppositions extérieures.
Les opérateurs ont aussi besoin de leurs propres mesures. Ils devraient maintenir un inventaire actuel des relations parentes, des ressources certifiées, des ROA, des enfants délégués, des points de publication et des dépendances de routage. Ils devraient alerter sur les changements de portée de certificat inattendus et comparer les charges utiles validées provenant de plus d’une implémentation ou point d’observation. Ils devraient savoir quels clients ou services exigent le statutValidplutôt que de supposer que chaque réseau traiteNotFoundde la même manière.
La mesure la plus utile est le temps écoulé entre une action parente erronée et la restauration d’une autorisation valide. Elle teste ensemble la détection, le contact, l’autorité, la signature et la publication. Un faible nombre d’incidents avec un chemin de restauration chaotique n’est pas une gouvernance mature.
Aucun jeu de données public ne soutient actuellement une probabilité fiable de révocation injustifiée ou de perte de route entre RIR. Cette incertitude devrait rester visible. C’est une raison de publier de meilleures preuves, pas une licence pour fabriquer de la réassurance.
L’autorité de sécurité a besoin d’une colonne vertébrale procédurale
Le RPKI résout un problème réel. Il permet à l’intention de routage d’un opérateur de devenir cryptographiquement vérifiable et donne aux réseaux une base plus solide pour rejeter les origines accidentelles ou malveillantes. La hiérarchie n’est pas un défaut embarrassant caché à l’intérieur de cette réalisation. C’est ainsi que le système lie l’autorisation à la délégation actuelle des ressources.
Mais une hiérarchie transporte le pouvoir vers le bas. Le parent RIR décide quelles ressources un certificat enfant peut couvrir. Un service hébergé peut aussi posséder la clé de signature du titulaire et publier chaque objet. Les mises à jour d’enregistrement peuvent donc devenir des changements dans les preuves de validation de route. L’incident du RIPE NCC de 2020 a montré que ce chemin est opérationnel, tandis que les conditions et politiques régionales actuelles montrent que les motifs de révocation et les recours varient encore.
La bonne réponse n’est ni d’abandonner le RPKI ni de prétendre que la cryptographie supprime le jugement institutionnel. Les AC parentes ont besoin de règles prospectives, d’un pouvoir d’urgence étroitement adapté, d’une notification significative, d’une ingénierie de transfert, d’un réexamen rapide, d’une comptabilité transparente des incidents et d’une responsabilité proportionnelle au contrôle. Les AC déléguées devraient être encouragées lorsque leurs avantages justifient leurs devoirs, mais elles ne devraient pas être vendues comme une échappatoire à la relation parente.
L’expression « autorité de certification au-dessus de l’opérateur » devrait devenir un rappel de conception. L’opérateur peut originer la route et signer l’autorisation. Une autre institution détermine si la signature se trouve à l’intérieur d’une chaîne de ressources valide. Lorsque cette institution agit avec précision, prévisibilité et responsabilité, le RPKI est plus fort. Lorsque ses erreurs administratives ou son pouvoir discrétionnaire illimité se propagent de manière invisible, la sécurité du routage peut devenir un canal pour le risque de registre.
La prochaine phase de la gouvernance du RPKI est donc procédurale plutôt que cryptographique. Les normes expliquent déjà comment fonctionnent les certificats, les listes de révocation, les manifestes et les ROA. Les communautés régionales doivent maintenant rendre tout aussi clair quand le parent peut agir, comment la continuité est protégée et ce qui se passe lorsque l’autorité au-dessus de l’opérateur a tort.
Sources
- IETF, RFC 6480,An Infrastructure to Support Secure Internet Routing:https://www.rfc-editor.org/rfc/rfc6480
- IETF, RFC 6483,Validation of Route Origination Using the Resource Certificate Public Key Infrastructure and Route Origin Authorizations:https://www.rfc-editor.org/rfc/rfc6483
- IETF, RFC 6492,A Protocol for Provisioning Resource Certificates:https://www.rfc-editor.org/rfc/rfc6492
- IETF, RFC 6811,BGP Prefix Origin Validation:https://www.rfc-editor.org/rfc/rfc6811
- IETF, RFC 7115,Origin Validation Operation Based on the Resource Public Key Infrastructure:https://www.rfc-editor.org/rfc/rfc7115
- IETF, RFC 8181,A Publication Protocol for the Resource Public Key Infrastructure:https://www.rfc-editor.org/rfc/rfc8181
- IETF, RFC 8211,Adverse Actions by a Certification Authority or Repository Manager in the Resource Public Key Infrastructure:https://www.rfc-editor.org/rfc/rfc8211
- RIPE NCC,Initial Certification Policy in the RIPE NCC Service Region:https://www.ripe.net/community/policies/proposals/2008-08/
- RIPE NCC,Resource Certification Service Launch:https://www.ripe.net/about-us/news/ripe ncc-resource-certification-service-launch/
- RIPE NCC,Using the RPKI System:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/using-the-rpki-system/
- RIPE NCC,Using the Hosted Certification Authority:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/resource-certification-roa-management/
- RIPE NCC,Using a Delegated Certification Authority:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/using-a-delegated-certification-authority/
- RIPE NCC,Certification Service Terms and Conditions:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/legal/ripe ncc-certification-service-terms-and-conditions/
- RIPE NCC, RIPE-847,Revocation of Persistently Non-functional Delegated RPKI CAs:https://www.ripe.net/publications/docs/ripe-847/
- RIPE NCC,Error in Contractual Status of Legacy Resources Impacted RPKI:https://www.ripe.net/ripe/mail/archives/routing-wg/2020-December/004210.html
- ARIN,RPKI Deployment Options:https://www.arin.net/resources/manage/rpki/options/
- ARIN,RPKI Terms of Service Agreement:https://www.arin.net/resources/manage/rpki/tos/
- APNIC,Certification Practice Statement:https://www.apnic.net/community/security/resource-certification/certification-practice-statement/
- APNIC,Resource Public Key Infrastructure:https://www.apnic.net/community/security/resource-certification/
- LACNIC,Resource Certification:https://www.lacnic.net/640/1/lacnic/resource-certification-rpki
- Number Resource Society,Our Charter:https://nrs.help/our-charter/
- Number Resource Society,Frequently Asked Questions:https://nrs.help/faq/

