Résumé

  • Un ROA AS0 est un désaveu signé d'origination de route publique. Parce que l'AS 0 est réservé et ne doit pas apparaître comme origine BGP utilisable, une annonce réelle couverte uniquement par ce ROA sera classée invalide par la validation d'origine.
  • La RFC 6491 donne à l'IANA une base normative pour émettre des ROA AS0 pour les ressources non allouées et les ressources réservées ou à usage spécial qui ne sont pas destinées à être routées globalement. Elle interdit également de tels ROA pour l'espace réservé ou à usage spécial censé être routé.
  • L'autorité des RIR est plus restreinte et régie régionalement. Elle repose sur l'administration actuelle de l'espace non délégué, la politique communautaire et des registres de ressources précis. L'APNIC et le LACNIC ont mis en œuvre des politiques de couverture AS0 pour l'espace d'adressage sous leur administration; cela ne crée pas d'autorité sur le pool d'un autre RIR ni sur toute forme de ressource contestée.
  • L'AS0 est utile comme contrôle de conservation car il exprime un refus par défaut contre une utilisation non autorisée avant qu'une allocation n'existe, et parce qu'un ROA positif simultané peut rendre une route autorisée Valide. Il ne prouve pas que chaque route observée est malveillante et n'élimine pas le choix de politique locale de l'opérateur.
  • Le plus grand risque de gouvernance est l'erreur de classification lors de la transition. Les espaces disponibles, réservés, mis en quarantaine, retournés, réclamés, à usage spécial, attribués et hérités ont des historiques factuels et juridiques différents. Une étiquette dérivée d'un instantané quotidien du registre ne peut pas régler à elle seule un droit contesté.
  • Le retrait doit précéder ou être coordonné en toute sécurité avec la délégation. La suppression d'un préfixe de l'AS0 n'est pas complète tant que la publication mise à jour n'a pas atteint les validateurs, les caches et les routeurs. Les opérateurs qui rejettent les chemins invalides ont également besoin d'une méthode de réévaluation sûre lorsque la correction arrive.
  • Des sources de confiance séparées et une utilisation d'abord en surveillance peuvent contenir le risque. L'APNIC a averti que des erreurs pourraient interrompre le routage et recommande son matériel AS0 pour un usage consultatif ou d'alerte plutôt que de filtrage automatique. Une telle séparation ne protège le choix de l'opérateur que si la source de confiance, la portée et la valeur par défaut sont visibles.
  • Un fonctionnement légitime de l'AS0 nécessite une règle de portée publique, des preuves de classification signées et versionnées, des vérifications de conflit avant publication, un défi authentifié rapide, des objectifs de retrait mesurables, un historique préservé et une observation BGP indépendante. Une Société des ressources numériques peut auditer ces contrôles sans revendiquer le pouvoir d'allouer de l'espace ou d'imposer une politique de routage.

Zéro est un désaveu, pas une destination

L'AS0 fonctionne parce que deux idées normatives se rencontrent. La première est le ROA: un objet signé indiquant quel système autonome est autorisé à originer une route pour un préfixe d'adresse, dans une longueur maximale de préfixe spécifiée. La seconde est la réservation de l'AS 0 lui-même. La RFC 7607, publiée en 2015, exige que les locuteurs BGP n'originent ni ne propagent une route contenant l'AS 0 dans les attributs de chemin pertinents et n'établissent pas de session revendiquant l'AS 0.

Un ROA AS0 n'autorise donc pas un réseau nul spécial à originer un préfixe. Il sélectionne une origine qui ne peut légitimement apparaître dans le chemin BGP public. La RFC 6483 décrit le résultat comme un désaveu: le détenteur du préfixe déclare que le préfixe et tout préfixe plus spécifique ne devraient pas être utilisés dans un contexte de routage. Tout AS d'origine public ordinaire ne correspondra pas à cette autorisation AS0.

La logique de validation comporte une nuance importante. La validation d'origine examine tous les ROA candidats couvrant la route. Si un ROA valide autorise l'origine et la longueur de préfixe observées, la route est Valide même si un ROA AS0, pris isolément, la rendrait Invalide. La RFC 6483 indique donc que l'AS0 a une préférence relative plus faible qu'une autorisation positive simultanée. L'AS0 établit un refus par défaut; ce n'est pas un veto absolu contre un ROA positif correspondant.

Cette propriété rend l'AS0 à la fois utile et délicat. Un registre peut marquer un pool non délégué comme non destiné au routage sans nommer chaque origine non autorisée possible. Lorsqu'il délègue ultérieurement une partie du pool, un ROA positif correctement émis peut protéger une annonce pendant que la couverture AS0 est modifiée. Cependant, compter sur le chevauchement comme remède de routine masquerait un mauvais contrôle des modifications. La valeur par défaut devrait rester le retrait ou la réémission de l'objet AS0 avant que le nouveau détenteur n'ait besoin d'annoncer.

L'effet technique est plus restreint que ce que certains discours politiques suggèrent. Un ROA AS0 provoque une classification Invalide chez les parties dépendantes qui acceptent la source de confiance pertinente et reçoivent l'objet en cours. Il ne supprime pas lui-même une route de BGP. La RFC 8481 laisse l'action politique à l'opérateur. Certains réseaux rejettent les routes Invalides, d'autres les déprécient ou les surveillent, et d'autres encore n'utilisent pas du tout cette source de confiance AS0.

Le mécanisme est donc une recommandation signée soutenue par l'autorité cryptographique sur les ressources et l'adoption par l'opérateur. Le qualifier de simple information sous-estime son effet. Le qualifier d'interdiction globale de routage le surestime. La gouvernance commence exactement au milieu: un désaveu par défaut faisant autorité que les réseaux indépendants peuvent transformer en application.

La question de l'autorité a trois réponses différentes

Qui peut autoriser l'AS0 dépend de l'espace d'adressage décrit. L'IANA, un RIR et un détenteur de ressources ordinaire ne tirent pas leur autorité de la même relation.

La RFC 6491 traite des objets RPKI de l'IANA pour les ressources qui restent au sommet de la structure d'allocation. Elle indique que l'IANA devrait émettre des ROA AS0 pour les ressources non allouées. Pour les ressources réservées et à usage spécial, le critère est le routage public prévu: l'IANA devrait émettre des AS0 pour les ressources non destinées à être routées globalement et ne doit émettre aucun ROA pour les ressources réservées ou à usage spécial censées être routées.

L'utilisation délibérée de « should » reconnaît que les actions du registre et les transitions techniques peuvent nécessiter un retrait ou une non-émission avant un changement de statut.

L'autorité d'un RIR commence après que les ressources sont placées sous son administration. Il peut certifier les portions non déléguées de son propre pool parce qu'il en est le dépositaire actuel et parce que la politique régionale autorise cet acte. La politique de l'APNIC stipule que seule l'APNIC peut créer des ROA AS0 pour l'espace d'adressage APNIC non encore délégué à un titulaire de compte, et que l'APNIC supprimera le préfixe lorsqu'elle déléguera l'espace.

La politique adoptée par le LACNIC limite de même l'AS0 aux ressources non allouées, non attribuées, récupérées ou retournées sous administration du LACNIC et exige que les ROA concernés soient invalidés ou réémis lorsque les ressources sont allouées ou attribuées.

Un détenteur existant peut également utiliser l'AS0 pour l'espace qu'il contrôle et qu'il ne souhaite pas router. Son autorité découle de son certificat et de sa relation avec la ressource, non d'un mandat général de conservation. Cette utilisation peut soutenir une réserve dormante ou un agrégat au sein duquel seuls des plus spécifiques autorisés devraient router. Elle ne doit pas être confondue avec un RIR déclarant qu'aucun détenteur n'existe.

Ces distinctions empêchent l'extension de l'autorité. Un RIR ne peut déduire de pouvoir sur le pool d'une autre région parce qu'il observe une annonce. Un projet de mesure ne peut pas signer d'AS0 simplement parce que les données d'enregistrement semblent incomplètes. Un organisme de normalisation peut définir comment l'espace réservé doit être utilisé mais n'opère pas automatiquement l'autorité de certification pertinente. Un litige judiciaire sur un bloc hérité ne peut être résolu en qualifiant le bloc de « disponible » dans une liste de commodité.

La déclaration d'autorité appropriée identifie le préfixe, la chaîne administrative actuelle, la classification, la base politique et la période effective. Si l'un de ces éléments est contesté, la publication d'AS0 peut encore être justifiée en tant que protection provisoire, mais le litige et la voie de contestation doivent être visibles. La capacité cryptographique de signer est une preuve nécessaire du contrôle; elle n'est pas en soi la preuve que chaque classification sous-jacente était procéduralement solide.

La conservation est un devoir réel dans un environnement rare et sujet aux abus

Le cas affirmatif pour l'AS0 ne doit pas être perdu dans les préoccupations de déni. L'espace d'adressage non délégué n'est pas libre pour une utilisation opportuniste. Les RIR le conservent pour une allocation future, des besoins spéciaux, des retours, une quarantaine ou des objectifs définis par la politique. Les annonces provenant de cet espace peuvent résulter d'erreurs, de configurations privées fuyant dans le routage public, de filtres obsolètes ou d'abus délibérés. Un désaveu lisible par machine peut aider les opérateurs à distinguer cet espace des préfixes simplement non signés mais légitimement routés.

Avant l'AS0, les opérateurs s'appuyaient couramment sur des listes de préfixes « bogon » construites à partir des registres d'allocation. Ces listes nécessitent une actualisation régulière et une interprétation soigneuse. Le RPKI peut lier l'avertissement à la même hiérarchie de certificats utilisée pour l'autorisation positive d'origine de route. Un validateur peut alors fournir le résultat avec d'autres charges utiles, et un routeur peut appliquer une politique de validation d'origine unique plutôt qu'une liste séparée non vérifiée.

La justification politique de l'APNIC est explicite: l'espace d'adressage marqué comme non alloué ou non attribué sous l'administration de l'APNIC ne devrait pas être annoncé publiquement, et l'AS0 est destiné à restreindre la propagation des annonces le couvrant. La justification du LACNIC lie de même la garde à la distribution selon la politique et cherche à réduire la charge des opérateurs maintenant des filtres séparés. Ce sont des objectifs légitimes d'intérêt public.

L'avantage de sécurité est préventif. Un acteur malveillant ne peut pas rendre une route Valide simplement en choisissant un AS d'origine parce qu'aucun AS routable ne correspond à zéro. Si les opérateurs rejettent les routes Invalides, l'AS0 augmente la probabilité qu'une mauvaise origine provenant d'un espace inutilisé soit arrêtée près d'une frontière d'importation. Il crée également une alerte authentifiée pour les opérateurs qui ne rejettent pas encore.

Mais la conservation n'est pas la propriété au sens ordinaire du terme, et la visibilité d'une route n'est pas une preuve définitive de vol. Certains enregistrements sont historiques, certaines ressources sont en transition, et certaines utilisations d'adresses sont privées ou à usage spécial. Une route publique peut révéler une erreur dans la propre classification du registre plutôt qu'une origine abusive. La valeur de l'AS0 réside dans l'établissement d'une valeur par défaut forte et réfutable, non d'une accusation irréfutable.

La thèse limitée est donc favorable à la conservation. Les RIR et l'IANA devraient pouvoir protéger les ressources véritablement non déléguées et non routées relevant de leur autorité. Ils devraient le faire avec la discipline attendue d'un contrôle dont les erreurs peuvent affecter la connectivité: portée étroite, registres fiables, avertissement avant changement lorsque c'est possible, retrait rapide, propagation observable et contestation effective.

« Non alloué » et « réservé » ne sont pas des synonymes

La politique AS0 commence souvent par une liste d'étiquettes: disponible, réservé, non alloué, non attribué, retourné, récupéré ou mis en quarantaine. Ces étiquettes peuvent toutes justifier le non-routage dans un contexte particulier, mais elles ne sont pas interchangeables.

L'espace non alloué n'a pas été délégué le long de la chaîne administrative pertinente. Le cas par défaut est simple: aucun réseau n'a actuellement l'autorité de l'originer publiquement. L'espace non attribué peut se trouver au sein d'une allocation plus large mais n'a pas été attribué à un utilisateur final ou à un sous-détenteur. La possibilité pour un RIR de signer directement pour celui-ci dépend de la structure du certificat et de la politique; un détenteur parent peut conserver l'autorité pertinente.

L'espace réservé est conservé pour une raison. Certaines réservations ne sont pas destinées au routage global, comme l'usage privé ou de documentation. D'autres peuvent être destinées à un futur service routable ou à une procédure d'attribution temporaire. La RFC 6491 reconnaît expressément les ressources réservées et à usage spécial qui sont censées être routées globalement et interdit à l'IANA d'émettre des ROA pour ces cas. « Réservé » ne peut donc pas être un synonyme mécanique de « ne jamais router ».

La quarantaine ajoute le temps et l'historique. Un bloc retourné ou réclamé peut être retenu avant sa réémission afin que le routage périmé, la réputation, la géolocalisation ou les enregistrements d'abus puissent se stabiliser. Le registre peut avoir de bonnes raisons de décourager l'origination publique pendant la quarantaine. Il a également besoin de savoir si un ancien détenteur revendique encore des droits, si un transfert est incomplet et si une route résiduelle représente un litige non résolu plutôt qu'un mauvais usage aléatoire.

Disponible signifie généralement éligible à l'allocation selon la politique. L'étiquette peut changer quotidiennement à mesure que les demandes, réservations et délégations sont traitées. Un objet AS0 dérivé d'une liste de disponibles doit être lié à des contrôles transactionnels afin qu'un préfixe ne puisse pas être délégué tout en restant accidentellement couvert sans une autorisation positive effective.

Les ressources héritées sont la catégorie la plus difficile. L'historique d'enregistrement peut être antérieur aux accords et services de certificats modernes. Une ressource peut sembler mal documentée sans être non allouée. La classification devrait utiliser l'historique d'enregistrement, les registres de transfert, les contrats, la correspondance et le routage observable, et non pas seulement l'absence d'un champ moderne. L'AS0 ne doit jamais devenir un raccourci pour éteindre une revendication gênante.

Un service de publication légitime définit chaque statut inclus et exclusion. Il nomme l'ensemble de données faisant autorité, l'heure de mise à jour et les règles de réconciliation. Il effectue des vérifications de chevauchement par rapport aux certificats actuels, aux attributions, aux ROA positifs, aux délégations en attente et aux litiges connus. S'il ne peut pas expliquer pourquoi un préfixe fait partie de l'ensemble, l'ensemble n'est pas prêt à influencer le routage.

Les statistiques quotidiennes sont des preuves, pas des titres de propriété

Le format d'échange de statistiques des RIR fournit un instantané public utile des allocations et attributions. Les registres entités publient des fichiers à intervalles réguliers, avec une nomenclature et une structure d'enregistrement communes. Les formulaires étendus peuvent inclure les statuts utilisés par les systèmes opérationnels. La mise en œuvre de l'AS0 par l'APNIC a tiré son ensemble non délégué des ressources marquées comme disponibles ou réservées dans ses statistiques publiées.

C'est un bon point de départ car les données sont publiques, lisibles par machine et reproductibles. Un observateur peut comparer l'ensemble des ressources classifiées avec les charges AS0 et identifier les différences inexpliquées. Le versionnage et les sommes de contrôle améliorent l'intégrité. L'automatisation réduit le risque qu'une liste maintenue manuellement se dégrade silencieusement.

Le format indique également ses limites. Il résume les allocations et attributions actuelles et ne fournit pas de détail transactionnel ou historique. Le nombre d'enregistrements n'équivaut pas à la quantité d'espace d'adressage. Les transferts peuvent créer des chevauchements temporaires entre les fichiers de registre. Certaines attributions historiques non issues du registre échappent aux enregistrements produits par les RIR. Un instantané peut rapporter un statut sans prouver comment, quand ou sous quelle autorité contestée il est apparu.

C'est pourquoi les statistiques quotidiennes ne devraient pas être le seul fondement du déni. Le service AS0 devrait les réconcilier avec le système d'enregistrement en direct, l'inventaire des certificats, les ROA positifs, les transactions d'allocation en attente, les verrous de transfert et les indicateurs de litige. Il devrait refuser la publication lorsque les sources sont en conflit plutôt que de choisir l'étiquette la plus commode. Une voie de révision humaine est particulièrement importante pour l'espace récupéré, retourné et hérité.

Le public devrait pouvoir reconstituer la décision sans avoir accès aux données privées des comptes. Pour chaque préfixe inclus, un manifeste signé ou un enregistrement de transparence peut identifier le statut source, l'heure d'observation, la politique d'autorisation et l'objet AS0. Pour chaque retrait, il peut identifier le nouveau statut et l'heure du retrait. L'identité sensible du client peut rester protégée jusqu'à ce que les règles ordinaires d'enregistrement autorisent la divulgation.

Les observateurs externes peuvent alors poser une question pertinente: l'ensemble AS0 correspondait-il à l'ensemble non délégué déclaré par le registre à ce moment-là? Ils n'ont pas besoin d'accepter la conclusion juridique du registre dans chaque litige pour vérifier la cohérence opérationnelle. Si un préfixe apparaît comme attribué tout en restant dans l'AS0, l'écart devient visible avant qu'un incident de routage ne soit écarté comme une erreur du détenteur.

Les preuves lisibles par machine rendent possible l'examen de l'autorité, mais elles ne transforment pas la publication de données en jugement. Le registre reste responsable de la procédure de classification derrière l'enregistrement et de la correction des erreurs lorsque les preuves documentaires modifient le résultat.

La transition hors de l'AS0 est le moment constitutionnel

Le cas AS0 le plus simple est un bloc qui reste inutilisé pendant des années. Le cas difficile est l'heure à laquelle il devient utilisable. Une nouvelle allocation transforme un défaut de conservation en un droit du détenteur d'autoriser le routage. Si les processus du registre ne coordonnent pas cette transition, un contrôle de sécurité peut interdire l'utilisation même que l'allocation était censée permettre.

La politique actuelle des ressources de l'APNIC stipule que lorsqu'elle délègue de l'espace à un titulaire de compte, elle supprimera le préfixe du ROA AS0. La politique du LACNIC exige d'invalider les ROA contenant une ressource qui est sur le point d'être allouée ou attribuée et d'émettre des ROA de remplacement sans cette ressource. L'ordonnancement est important. Le déni doit être retiré avant ou dans une transaction coordonnée en toute sécurité avec la nouvelle autorité.

La publication n'est cependant pas instantanée. Supprimer un préfixe dans un système d'allocation interne ne supprime pas immédiatement chaque charge validée. Le dépôt doit publier un nouvel état cohérent. Les parties dépendantes récupèrent les données selon leur propre calendrier. Les sessions cache-routeur utilisent des comportements de rafraîchissement et de nouvelle tentative. Les routeurs doivent recevoir un retrait et réévaluer les routes. Différents réseaux peuvent avoir des vues valides différentes pendant la convergence.

Une analyse d'impact du RIPE NCC de 2019 pour une proposition AS0 a illustré le problème plutôt que de le résoudre. Elle a noté que les déclencheurs opérationnels pourraient rendre la révocation anticipée difficile et que le traitement global pourrait prendre du temps. Les estimations exactes d'une analyse de proposition ne doivent pas être considérées comme la performance universelle actuelle, mais la leçon institutionnelle demeure: la préparation de l'allocation et du routage nécessite une période de transfert explicite.

Il existe trois garde-fous pratiques. Premièrement, pré-étager le retrait lorsque la décision d'allocation est suffisamment définitive pour le faire en toute sécurité. Deuxièmement, permettre au nouveau détenteur de créer un ROA positif correspondant avant l'annonce, car la validation d'origine traite une autorisation positive correspondante comme Valide même en présence d'AS0. Troisièmement, vérifier auprès de validateurs indépendants que l'état de charge prévu s'est propagé avant de conseiller au détenteur d'annoncer.

Ces contrôles nécessitent une promesse de service. L'avis d'allocation devrait indiquer si l'AS0 couvrait auparavant la ressource, quand le retrait a été publié, où le détenteur peut l'inspecter et quand un ROA positif est devenu utilisable. Si un routage urgent est prévu, un ingénieur du registre devrait confirmer la validation externe plutôt que de se fier à un statut de portail.

La transition est constitutionnelle car elle révèle quels droits ont la priorité et à quel moment. La conservation est légitime tant qu'aucun détenteur n'a d'autorité. Une fois l'autorité accordée, l'institution doit abandonner le déni rapidement et visiblement. Un registre qui peut ajouter l'AS0 automatiquement mais ne peut pas le retirer selon un objectif mesuré a construit un pouvoir à sens unique.

Une classification AS0 erronée a une forme de défaillance distinctive

Supposons qu'un /16 soit classé comme non délégué et couvert par un ROA AS0 alors qu'un détenteur légitime achemine un /24 depuis son sein. Avant l'AS0, la route pouvait être NotFound et acceptée. Après que les validateurs ont ingéré l'objet, le /24 devient Invalide car le préfixe AS0 couvre ses plus spécifiques et aucun ROA positif ne correspond. Les réseaux qui rejettent les routes Invalides peuvent retirer la joignabilité à des moments différents.

Le motif visible peut ressembler à une réponse de détournement: certains réseaux cessent de porter la route tandis que d'autres continuent. Le détenteur peut d'abord blâmer le transit, le fournisseur de transit peut pointer son validateur, et le validateur peut correctement afficher la charge AS0 signée. Chaque acteur peut avoir raison techniquement dans ses propres limites alors que la classification sous-jacente du registre est erronée.

Le remède doit commencer au niveau de l'autorité. Une exception d'opérateur local peut restaurer un chemin, mais elle ne peut pas supprimer l'objet AS0 vu par d'autres réseaux. Le registre doit authentifier le demandeur, examiner les preuves de ressource, retirer ou réduire l'objet et publier une correction motivée. Les validateurs doivent ensuite traiter l'état modifié du dépôt, et les routeurs doivent réévaluer.

L'échec peut persister après le retrait si les preuves sont minces. Un validateur peut ne pas récupérer le nouvel état. Un cache peut être périmé. Un routeur peut avoir rejeté la route et nécessiter un mécanisme de récupération sûr. Certains opérateurs peuvent maintenir séparément des listes bogon dérivées du même statut erroné. Corriger le RPKI seul peut ne pas éliminer tous les dénis.

Cette forme plaide pour un enregistrement coordonné des incidents. Il devrait identifier la classification erronée, la première publication AS0, les préfixes affectés, les origines BGP observées, l'autorisation de correction, le retrait du dépôt, la convergence des validateurs indépendants, la récupération des caches et des routeurs, et les filtres résiduels non RPKI. L'enregistrement devrait distinguer les effets confirmés des effets inférés.

L'indemnisation et la faute devraient suivre les preuves. Un registre qui a mal classé des enregistrements clairs a un devoir plus fort que celui qui fait face à un litige de titre de bonne foi. Un opérateur qui a appliqué une politique stricte documentée n'a pas créé la classification, mais il peut être responsable de l'absence d'une voie de remontée pour le client ou de l'échec du traitement de la correction. Un détenteur qui a routé sans maintenir de contact ou de registres d'autorisation peut avoir contribué au retard sans perdre toute revendication.

L'objectif n'est pas de rendre l'AS0 sans risque. C'est de s'assurer que le contrôle a un mode de défaillance réversible et qu'aucune institution ne puisse pointer indéfiniment le maillon suivant de la chaîne.

Des sources de confiance séparées ne peuvent limiter le rayon d'impact que si les opérateurs en sont conscients

Les notes publiques de l'APNIC sur son ROA AS0 sont exceptionnellement franches. Elles avertissent que des erreurs pourraient provoquer une interruption de routage involontaire selon la configuration du routeur, recommandent un usage consultatif ou d'alerte plutôt qu'un filtrage automatique, et décrivent un autre localisateur d'ancre de confiance destiné à empêcher une utilisation par inadvertance. Le matériel ne couvre que l'espace d'adressage pour lequel l'APNIC fait autorité.

Cette conception sépare la décision de faire confiance au matériel RPKI positif ordinaire de la décision de consommer un large désaveu généré par le registre. Un opérateur peut valider l'ensemble AS0 en surveillance, le comparer avec les preuves BGP et d'enregistrement, et choisir s'il faut ou non appliquer une sanction. Une erreur n'affecte pas nécessairement automatiquement chaque réseau utilisant l'ancre de confiance standard de l'APNIC.

La séparation n'est pas magique. Si le logiciel intègre la source de confiance supplémentaire comme valeur par défaut silencieuse, le choix disparaît. Si un validateur géré étiquette le flux de manière générique, un opérateur de routeur peut ne pas savoir que l'AS0 provient d'une source distincte. Si un opérateur fusionne les charges de plusieurs caches sans provenance, il peut être incapable d'identifier quelle source de confiance a rendu la route Invalide.

Le contrôle nécessite donc une visibilité d'interface. Les validateurs devraient montrer les sources de confiance AS0 séparément, lister le nombre et la portée des charges sans impliquer une couverture universelle, et étiqueter la provenance dans les diagnostics. Les opérateurs devraient enregistrer l'approbation explicite, le mode prévu, les routeurs couverts et la politique. Les modifications de la source de confiance devraient nécessiter un examen comparable à un changement de politique de routage.

L'utilisation d'abord en surveillance a une valeur substantielle. Un opérateur peut alerter lorsqu'un préfixe couvert par l'AS0 apparaît dans BGP, contacter l'origine apparente ou le fournisseur amont, et comparer les enregistrements d'enregistrement indépendants avant de rejeter. C'est particulièrement prudent lors d'un déploiement précoce ou lorsque l'historique de classification est complexe. Cela génère également des preuves sur les faux positifs et la propagation sans risquer une déconnexion immédiate.

La faiblesse est que la surveillance ne conserve pas les routes à elle seule. Un abuseur déterminé peut continuer à annoncer. Les opérateurs matures peuvent raisonnablement passer au rejet après avoir démontré la qualité des données et la capacité de correction. L'exigence de gouvernance n'est pas une prudence permanente mais une escalade délibérée: mesurer, notifier, tester les exceptions, publier une date puis appliquer selon une politique documentée.

Des choix régionaux différents sont légitimes lorsqu'ils sont visibles. Selon les preuves examinées, l'APNIC et le LACNIC ont mis en œuvre des dispositions AS0, avec des directives officielles de la NRO de 2025 décrivant des ancres de confiance AS0 séparées et recommandant l'alerte ou la surveillance plutôt que le filtrage automatique en raison des risques. Cela ne doit pas être généralisé pour affirmer que chaque RIR publie ou régit l'AS0 de manière identique.

La politique locale reste la décision finale d'application

Un ROA AS0 ne contourne pas la RFC 8481. Les validateurs définissent l'état de validation d'origine; la configuration de l'opérateur décide de la politique. Cela importe parce que les institutions qui signent l'AS0 et celles qui supportent le risque de connectivité sont différentes.

Un réseau peut rejeter chaque route qui est Invalide uniquement en raison d'une charge AS0 acceptée. Cela donne à la conservation un effet direct et simplifie la politique. Cela nécessite également la confiance que les procédures de classification, de retrait et d'exception sont solides. Le réseau devrait savoir si l'état Invalide provient de ROA standards émis par les détenteurs, d'un flux AS0 du registre ou d'assertions locales, même si le même terme de route-map rejette finalement les trois.

Un autre réseau peut alerter sur l'AS0 séparément. Il peut contacter un client avant d'appliquer, rejeter sur les sessions de pair et de transit mais permettre une exception temporaire authentifiée pour le client, ou n'appliquer qu'après une confirmation indépendante. De telles distinctions peuvent être légitimes car la relation et les preuves diffèrent. Elles ne doivent pas devenir des échappatoires permanentes par lesquelles les clients peuvent annoncer tout espace non délégué.

La dépréférence est un compromis imparfait. Une route Invalide plus spécifique peut attirer le trafic par rapport à une route Valide moins spécifique car le transfert utilise le plus long préfixe avant la préférence BGP parmi les routes vers le même préfixe. Conserver un chemin Invalide uniquement pour une réévaluation rapide est différent de l'autoriser au transfert. Les descriptions de politique doivent distinguer ces états.

Les opérateurs ont également besoin d'une réponse lorsque les données de validation disparaissent. L'expiration du cache peut supprimer le signal AS0 ou modifier son traitement. L'ouverture en échec peut autoriser la route non désirée; la fermeture en échec sur toutes les données inconnues peut causer un préjudice de joignabilité plus large. Des caches redondants et une politique d'expiration explicite réduisent mais n'éliminent pas le choix.

Aucun registre ne peut évaluer ces risques locaux pour chaque réseau. Un fournisseur du secteur public transportant des services d'urgence peut choisir une exception échelonnée après avoir authentifié un préfixe nouvellement alloué. Un backbone avec une large observation et une escalade mature peut rejeter immédiatement. Une petite entreprise peut s'appuyer entièrement sur son fournisseur amont. La légitimité institutionnelle vient de rôles clairs, pas d'une configuration identique.

La décision de l'opérateur devrait néanmoins pouvoir être expliquée. Lorsqu'une route est rejetée, le réseau devrait pouvoir identifier la charge AS0, la source de confiance, l'heure du validateur et la politique correspondante. Lorsqu'une exception est accordée, elle devrait identifier la portée, les preuves, l'approbateur et l'expiration. L'autonomie locale sans enregistrement est indiscernable d'un traitement arbitraire pour la partie affectée.

La mesure externe fait partie du dossier de sécurité

Un éditeur d'AS0 peut vérifier ses propres objets et néanmoins manquer l'écart le plus important: un préfixe qu'il qualifie d'inutilisé est visiblement originé dans BGP. La route peut ne pas être autorisée, mais cela peut aussi être la preuve que la classification mérite une révision avant une application générale. La mesure externe devrait donc être effectuée avant la publication, pendant l'exploitation et après le retrait.

La première comparaison se fait entre la couverture AS0 proposée et les observations BGP actuelles. RIPE RIS et RouteViews collectent des routes auprès de réseaux entités à plusieurs endroits et archivent les tables de routage et les mises à jour. Un éditeur peut signaler chaque préfixe proposé ou plus spécifique qui apparaît chez un collecteur sélectionné. Le résultat est une file de révision, pas une exemption automatique. La visibilité des collecteurs est partielle, et la non-observation ne prouve pas qu'une route n'existe pas.

La deuxième comparaison se fait entre le statut de ressource faisant autorité et l'ensemble des charges validées. Des validateurs indépendants devraient dériver les mêmes entrées AS0 prévues à partir des objets publiés. Les différences peuvent révéler un retard du dépôt, des erreurs de certificat ou des différences d'interprétation logicielle. Le rapport devrait identifier les sources de confiance et les heures d'observation plutôt que de compter les validateurs comme des votes.

La troisième comparaison concerne l'effet. Une observation contrôlée peut montrer si les annonces couvertes par l'AS0 restent visibles depuis des points de vue sélectionnés, si la visibilité change après l'adoption par les opérateurs et si un préfixe corrigé réapparaît. Elle ne peut pas établir un taux de rejet global exact. Les collecteurs BGP échantillonnent des pairs volontaires, et les changements de chemin peuvent masquer la politique. Les tests actifs nécessitent des garde-fous éthiques et de routage et ne mesurent encore que des chemins sélectionnés.

La quatrième comparaison concerne les faux positifs. Chaque contestation authentifiée devrait être classée: erreur de données du registre, délégation en attente, route périmée, erreur du détenteur, revendication contestée, usage privé local ou annonce inexpliquée. Le temps jusqu'à la première réponse, la correction par l'autorité, la convergence des validateurs et le rétablissement observé devraient être rapportés sous forme de distributions avec des dénominateurs clairs. Une période sans contestation n'est pas la preuve d'une exactitude parfaite si les parties concernées ne pouvaient pas trouver le contact.

La mesure publique donne de la crédibilité à la revendication de conservation. Elle montre si l'espace couvert a réellement été observé dans le routage, si les abus ont diminué et si les transitions légitimes ont récupéré. Elle discipline également l'expansion. Un éditeur ne devrait pas ajouter plus de catégories simplement parce que la génération est techniquement facile; il devrait montrer que l'ensemble actuel est exact, réversible et utile.

La preuve la plus solide est au niveau des événements et reproductible. Une revendication mensuelle selon laquelle « l'AS0 protège des millions d'adresses » en dit peu sur la valeur opérationnelle et peut induire en erreur car le comptage des adresses pondère fortement les grands blocs. Un enregistrement des annonces détectées, des conflits examinés, des corrections et de la convergence mesurée indique aux institutions ce que le contrôle a réellement fait.

Un retrait rapide est un droit, pas seulement un objectif d'ingénierie

Lorsque l'AS0 est erroné, la partie concernée a besoin de plus qu'un ticket de support. La déclaration signée du registre peut influencer des opérateurs distants avec lesquels le détenteur n'a aucun contrat. Une procédure de contestation crédible fait donc partie de l'autorité de publier.

Le point d'entrée devrait être public, surveillé en permanence et capable d'authentifier les demandeurs urgents. Le demandeur devrait fournir le préfixe, l'autorité revendiquée, l'AS d'origine, les preuves de routage et le contact. Le registre devrait immédiatement renvoyer un identifiant de dossier et indiquer si le préfixe est actuellement dans l'AS0, sous quelle politique et à partir de quel enregistrement de statut.

Le tri devrait séparer l'erreur administrative évidente des droits contestés. Si un préfixe nouvellement alloué est resté couvert en raison d'un échec dans le traitement du changement, le retrait ne devrait pas attendre un comité politique. Si la revendication concerne un bloc retourné ou hérité avec des enregistrements contradictoires, le registre peut avoir besoin d'un examen juridique et documentaire. Même alors, il devrait envisager une mesure limitée dans le temps, expliquer la décision provisoire et préserver le recours.

Les objectifs de retrait devraient être définis à des points de contrôle: approbation, publication dans le dépôt et confirmation par des validateurs indépendants spécifiés. Le rétablissement de la route de bout en bout devrait être mesuré et rapporté mais pas garanti universellement car les opérateurs contrôlent leur propre interrogation et politique. Le registre devrait continuer à aider jusqu'à ce que des observations externes représentatives montrent que la correction s'est propagée ou que l'obstruction restante se situe ailleurs.

L'enregistrement historique doit survivre à la correction. Régénérer silencieusement un large agrégat sans un journal des modifications détaillé rend difficile de savoir que le préfixe a jamais été couvert. Une entrée de transparence devrait enregistrer l'ancienne et la nouvelle portée, la catégorie de raison, l'autorisation et les horodatages. Elle peut protéger les détails privés du demandeur tout en exposant l'action institutionnelle.

Un recours devrait être disponible lorsque le registre refuse le retrait. L'organe de révision a besoin d'accéder aux preuves d'enregistrement et de politique, doit être suffisamment indépendant pour remettre en question la classification du personnel, et devrait publier un résultat motivé avec les caviardages nécessaires. Les droits judiciaires et les recours contractuels restent applicables le cas échéant; l'examen technique ne devrait pas prétendre régler chaque question de titre juridique.

Le retrait rapide est un droit parce que la réversibilité justifie le pouvoir préventif. L'institution demande aux opérateurs de se fier à une classification avant qu'un préjudice ne survienne. En échange, elle doit offrir à la partie mal classée une voie de sortie rapide et documentée. Sans cette symétrie, la conservation devient un déni préemptif sans procédure régulière.

Le pouvoir préventif nécessite un contrôle des modifications plus fort que les listes ordinaires

Une liste bogon statique peut être erronée, mais un objet RPKI AS0 porte une autorité cryptographique et peut entrer dans la politique automatisée des routeurs. Son contrôle des modifications devrait refléter cet effet de levier plus élevé.

La génération devrait être déterministe à partir des entrées déclarées mais pas aveugle. L'ensemble candidat peut être calculé à partir du statut des ressources, puis vérifié par rapport aux avoirs en certificats, aux ROA positifs, aux allocations en attente, aux registres de transfert, aux indicateurs de litige et au BGP observé. Chaque exclusion et conflit devrait être journalisé. Une deuxième personne ou un contrôle indépendant devrait approuver les ajouts à haut risque tels que les plages retournées, récupérées ou héritées.

Les objets devraient être délimités pour réduire le destin partagé. La RFC 9455 avertit plus généralement que les ROA contenant plusieurs préfixes partagent la validité en tant qu'objet signé unique. Pour les opérations AS0, un regroupement excessivement large peut rendre l'investigation et la correction plus difficiles, même lorsque la sémantique de validation de route reste spécifique au préfixe. Des objets plus petits, logiquement groupés, peuvent soutenir des enregistrements de modification plus clairs, à condition de respecter l'échelle opérationnelle et la performance du dépôt.

La simulation pré-publication devrait calculer quelles annonces BGP observées passeraient de NotFound ou Valide à Invalide dans les validateurs indépendants. L'examen devrait inclure les plus spécifiques car l'AS0 est destiné à les couvrir. Un conflit d'autorisation positive devrait être expliqué, pas ignoré. Le résultat devient un artefact d'approbation et une référence pour l'observation post-publication.

Le déploiement devrait être échelonné. Publier sur une source de confiance de surveillance, inviter les opérateurs à examiner, comparer les observations, corriger les classifications, puis envisager des directives d'application. Un registre peut encore répondre rapidement à un abus évident; l'adoption échelonnée concerne la confiance des parties dépendantes, pas un retard dans la signature de chaque objet.

Le retrait mérite une ingénierie égale. Les systèmes d'allocation devraient être incapables d'achever une délégation sans créer un événement de retrait AS0 lié. Le service devrait vérifier la publication dans le dépôt et les vues des validateurs indépendants. Un retrait échoué devrait alerter une équipe responsable plutôt que d'attendre que le destinataire découvre une route Invalide.

Enfin, les organes de gouvernance devraient examiner publiquement les changements de portée. Ajouter de l'espace « mis en quarantaine » ou « récupéré » peut modifier les droits et ne devrait pas être une version logicielle inaperçue. La politique devrait définir l'inclusion, la transition et le recours. Le personnel technique devrait publier une analyse d'impact avec les conflits et les limitations. L'approbation communautaire ne peut garantir l'exactitude, mais elle rend le mandat de conservation affirmé contestable avant qu'il ne devienne du code.

Le cas de l'AS0 est le plus fort lorsque ses limites sont explicites

La défense la plus solide de l'AS0 ne revendique pas des registres parfaits, un déploiement universel ou l'élimination automatique des abus. Elle dit quelque chose de plus modeste et de plus durable: les institutions qui administrent actuellement l'espace d'adressage ont le devoir d'empêcher l'utilisation non autorisée avant délégation, et le RPKI offre un moyen authentifié d'exprimer ce défaut aux opérateurs volontaires.

La défense a des conditions. L'institution doit détenir l'autorité administrative actuelle pour le préfixe exact. Le statut de la ressource doit signifier que l'origination publique n'est pas prévue. Les ressources à usage spécial censées être routées doivent être exclues. Les détenteurs existants, les délégations en attente, les ROA positifs et les annonces visibles doivent être vérifiés. La politique régionale doit autoriser l'acte là où les règles de niveau supérieur de l'IANA ne le régissent pas directement.

L'effet doit également être énoncé honnêtement. L'AS0 produit un résultat de validation d'origine; les opérateurs choisissent l'application. Une route classifiée Invalide peut refléter une utilisation malveillante, une erreur opérationnelle ou une mauvaise classification. Un ROA positif correspondant peut rendre une route Valide. Différentes sources de confiance peuvent conduire les réseaux à des vues différentes. Les observations BGP sont échantillonnées, pas universelles.

Plus important encore, le contrôle doit être réversible. L'éditeur a besoin d'un retrait mesuré, d'un service de contestation, d'un historique préservé et d'une confirmation indépendante. Les nouveaux détenteurs ont besoin de preuves de transition avant d'annoncer. Les opérateurs ont besoin de provenance et d'une réévaluation sûre. Un contrôle qui peut ajouter un déni en quelques minutes mais prend des jours pour corriger une erreur évidente manque d'équilibre institutionnel même si sa cryptographie est sans faille.

Ces limites n'affaiblissent pas la conservation. Elles rendent l'adoption par les opérateurs plus défendable. Les réseaux sont plus susceptibles d'appliquer un signal lorsqu'ils savent comment il a été produit et comment les erreurs sont réparées. Les détenteurs sont plus susceptibles d'accepter une couverture préventive lorsque l'allocation la supprime de manière fiable. Les chercheurs peuvent mesurer l'effet lorsque la portée et l'historique sont publics.

Un régime AS0 devrait donc publier une déclaration d'assurance compacte: autorité, statuts inclus, exclusions, sources de données, calendrier d'actualisation, source de confiance, orientations d'adoption, vérifications des conflits, contact de contestation, objectifs de retrait, validateurs externes et limites de mesure. Cette déclaration transforme une large assertion négative en un service responsable.

Une Société des ressources numériques peut auditer sans devenir un allocateur

Une Société des ressources numériques a un rôle utile précisément parce que l'AS0 franchit les frontières institutionnelles. Le registre contrôle la classification et la signature. Les opérateurs contrôlent la politique de routage. Les détenteurs supportent les conséquences. Les chercheurs n'observent que des parties du système de routage. Aucun acteur unique ne rassemble naturellement l'ensemble du dossier de sécurité.

La Société peut maintenir un registre comparatif des politiques AS0: quelle institution publie, sous quelle source de confiance, pour quels statuts, avec quel ordre de transition, quel canal de contestation et quel enregistrement de transparence. Elle peut tester si la portée publiée correspond aux données de ressources déclarées et si les validateurs indépendants convergent. Elle peut commander des études d'événements autour des ajouts, des retraits et des préfixes nouvellement délégués.

Elle peut également représenter les petits détenteurs dans la correction. Un formulaire de preuve commun et un répertoire d'escalade réduiraient le temps passé à prouver qu'une route Invalide est liée à l'AS0. La Société pourrait suivre la réponse et le rétablissement sans exiger la divulgation de documents de compte protégés. Les échecs répétés pourraient être soulevés dans les processus communautaires des RIR avec des preuves concrètes plutôt qu'avec des soupçons généralisés.

La frontière est essentielle. La Société ne devrait pas émettre de ROA AS0 pour l'espace d'adressage qu'elle n'administre pas, décider d'un titre de ressource contesté, contraindre un RIR à allouer, ou ordonner aux réseaux de porter des routes. Elle ne devrait pas fusionner toutes les politiques régionales en un seul flux universel. Ces actes reproduiraient la concentration que l'examen indépendant est censé contrôler.

Son autorité serait réputationnelle et procédurale. Des méthodes publiées, des comparaisons reproductibles, une composition équilibrée et des conflits déclarés peuvent rendre ses conclusions utiles. Un RIR pourrait rejeter une recommandation, mais aurait besoin d'expliquer pourquoi. Un opérateur pourrait choisir une politique plus stricte ou plus souple, mais pourrait comparer les preuves derrière chaque source de confiance.

La Société devrait noter les contrôles, pas les institutions dans l'abstrait. L'ensemble AS0 a-t-il une base d'autorité claire? Une nouvelle délégation peut-elle sortir en toute sécurité? Les conflits observés sont-ils examinés? Le retrait est-il visible dans les validateurs indépendants? Un détenteur affecté peut-il obtenir une raison? Les changements de politique et techniques sont-ils publics? Ces questions produisent une amélioration exploitable.

Un tel rôle soutient un agenda positif de la Société des ressources numériques: conservation sans confiscation, sécurité du routage sans commandement central caché, et autonomie régionale avec des preuves communes. Cela transforme la légitimité d'une revendication de but bienveillant en un test de pouvoir réversible.

La conservation et le déni sont séparés par la procédure

Les ROA AS0 sont à la fois des outils de conservation et des dénis préemptifs. Les deux descriptions ne sont pas mutuellement exclusives. Le mécanisme refuse l'origination publique avant qu'un détenteur légitime ne soit censé router. Ce déni conserve les ressources uniquement lorsque l'autorité, la classification et la transition sont solides.

Les normes fournissent une base limitée. L'AS 0 est inutilisable comme origine BGP publique. La RFC 6483 définit le désaveu et permet aux ROA positifs correspondants de prévaloir. La RFC 6491 autorise le traitement par l'IANA de l'espace non alloué et réservé ou à usage spécial non routé tout en protégeant l'espace destiné à être routé. La RFC 8481 maintient l'action finale dans la politique de l'opérateur.

Les politiques régionales ajoutent une deuxième base. L'APNIC et le LACNIC ont lié l'AS0 à l'espace d'adressage sous leur propre administration et décrit le retrait lorsque les ressources sont déléguées. Leurs choix démontrent que la politique communautaire, et non la capacité technique seule, devrait définir la portée des RIR. La source de confiance séparée de l'APNIC et sa mise en garde contre le filtrage automatique reconnaissent également le coût de l'erreur.

Le travail restant est institutionnel. Chaque préfixe inclus devrait avoir une autorité et une base de statut visibles. Chaque transition devrait coordonner le retrait, l'autorisation positive et la validation externe. Chaque contestation devrait recevoir une réponse authentifiée et une correction mesurable. Chaque effet revendiqué devrait identifier ses points de vue BGP et ses limites. Chaque opérateur devrait savoir que c'est lui, et non le registre, qui choisit finalement si Invalide signifie rejeter.

Avec ces contrôles, l'AS0 est un instrument de conservation légitime: assez fort pour décourager le mauvais routage, assez étroit pour respecter l'autorité du détenteur, et réversible lorsque les faits changent. Sans eux, le même zéro signé peut devenir un déni opaque imposé avant que la partie concernée n'ait une audience effective.

Le test de gouvernance est donc pratique plutôt que rhétorique. Demandez qui a signé, quel statut exact a justifié la signature, qui a vérifié l'utilisation existante, quand le déni sera retiré, comment un demandeur peut le contester, quels validateurs confirment le changement et ce que les routes échantillonnées montrent par la suite. Si ces questions ont de bonnes réponses, le zéro peut protéger une ressource commune. Si ce n'est pas le cas, la validité cryptographique prouve seulement que la déclaration incorrecte non soutenue institutionnellement a été signée correctement.

Sources

  • RFC 7607: Codification du traitement de l'AS 0— Exige que les locuteurs BGP n'originent ni ne propagent des routes contenant l'AS 0 dans des attributs de chemin spécifiés. Elle explique pourquoi l'AS0 peut servir de sujet non routable mais n'autorise aucune institution à classer un préfixe particulier.
  • RFC 6483: Validation de l'origination de route à l'aide du RPKI et des ROA— Définit le désaveu AS0, le traitement des plus spécifiques et la capacité d'un ROA positif correspondant à produire un résultat Valide. Elle est antérieure aux politiques régionales évaluées ici.
  • RFC 6491: Objets d'infrastructure de clé publique de ressource émis par l'IANA— Fournit la base normative pour les objets AS0 de l'IANA couvrant les ressources non allouées et réservées ou à usage spécial non routées, avec des exclusions explicites pour les ressources destinées au routage.
  • RFC 6811: Validation d'origine de préfixe BGP— Définit les états de route Valide, Invalide et NotFound. Un état n'établit pas pourquoi une annonce est en conflit avec l'autorisation.
  • RFC 8481: Clarifications sur la validation d'origine BGP— Exige que l'action de politique de validation d'origine reste sous la configuration explicite de l'opérateur. Elle ne recommande pas une politique AS0 unique.
  • RFC 8416: Gestion simplifiée des ressources de numéros Internet locaux avec le RPKI— Décrit les filtres et assertions locaux, y compris les cas impliquant un espace réservé ou non alloué. Les exceptions locales ne modifient pas les vues globales des autres opérateurs.
  • RFC 8210: Le protocole RPKI à routeur, version 1— Définit les retraits de charge utile, les numéros de série de cache et la synchronisation entre validateurs et routeurs. Ses temporisateurs ne garantissent pas un temps de correction de bout en bout universel.
  • RFC 9455: Éviter les ROA contenant plusieurs préfixes IP— Explique le destin de validité partagé au sein des objets ROA multi-préfixes. Appliquer sa leçon de conception d'objet à l'AS0 est une recommandation de gouvernance, pas un mandat spécifique à l'AS0 dans cette RFC.
  • APNIC prop-132: ROA RPKI pour l'espace d'adressage APNIC non alloué et non attribué— Enregistre la proposition régionale, la justification et le statut mis en œuvre pour l'espace géré par l'APNIC. Elle n'accorde pas à l'APNIC d'autorité sur d'autres régions.
  • Politiques de ressources de numéros Internet de l'APNIC, section 5.1.4— Indique quels statuts APNIC reçoivent une couverture AS0 et que l'APNIC supprime un préfixe lorsqu'elle délègue la ressource. Le texte de politique public ne prouve pas à lui seul que chaque transition opérationnelle est exempte d'erreurs.
  • APNIC: Notes importantes sur le ROA AS0— Avertit du risque d'interruption, recommande un usage consultatif ou d'alerte et décrit une source de confiance séparée. Il s'agit de la propre déclaration opérationnelle de l'APNIC, pas d'une étude d'efficacité indépendante.
  • Politique LACNIC LAC-2019-12— Enregistre l'autorité régionale mise en œuvre, la portée et les exigences de retrait pour les ressources administrées par le LACNIC. La politique ne règle pas les revendications héritées ou interrégionales non liées.
  • Analyse d'impact RIPE NCC 2019-08— A exploré le calendrier opérationnel, la portée et les risques de transition pour une approche AS0 ou d'assertion locale proposée. C'est une preuve de préoccupations de conception, pas la preuve que la conception analysée est devenue la pratique actuelle du RIPE NCC.
  • Format d'échange de statistiques RIR— Définit les instantanés publics des allocations et attributions et explique leur absence d'historique transactionnel. Les fichiers de statut sont des preuves pour la classification, pas un substitut pour juger une autorité contestée.
  • Documentation RIPE RIS— Décrit les collecteurs BGP distribués et les archives adaptés à l'observation avant-après. La couverture est échantillonnée et ne peut établir un rejet universel.
  • Documentation de l'API RouteViews— Documente les observations de routage actuelles et historiques des collecteurs entités. La non-observation chez un collecteur n'est pas la preuve qu'aucune route n'existe ailleurs.
  • Note de bonnes pratiques RPKI LACNIC/NRO— Décrit les orientations opérationnelles de 2025 pour les sources de confiance AS0, la surveillance et le déploiement échelonné de la ROV. C'est une orientation et ne doit pas être convertie en un dénominateur d'adoption exact.
  • Charte NRS— Soutient une participation distribuée et des limites à l'autorité concentrée sur les ressources numériques. Les fonctions d'audit et de contestation proposées dans cet article restent prospectives et ne confèrent pas de pouvoir d'allocation ou de routage à la NRS.