Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

WhoIs : Les "statuts" possibles pour un nom de domaine Internet

Date :03 Novembre 2005

Publication: Article

Les bases "WhoIs" répertorient l'ensemble des noms de domaines ".com", ".org", etc... (les TLD : "Top Level Domains") et des adresses IP attribuées. Elles constituent un référentiel documentaire dans lequel on trouve essentiellement les coordonnées du propriétaire pour chaque plage d'adresses IP et chaque nom de domaine. C'est à partir des bases "WhoIs" que les tables DNS des TLD sont créées.

Le fonctionnement des bases "WhoIs" est assez mal documenté. Nous en donnons ici quelques éléments, en particulier pour ce qui concerne l'état (le "statut") associé à chaque nom de domaine.

Quelques définitions
  • Registry : La gestion de chaque TLD (tels que ".com", ".org", etc...) est confié par l'ICANN ("Internet Corporation for Assigned Names and Numbers") à un "registry". Le rôle principal du "registry" est de maintenir à jour la liste des noms de domaines déjà attribués pour leur TLD. Par exemple, le "registry" pour ".com" et ".net" est Verisign. Celui de ".org" est "pir.org" (PIR = Public Interest Registry).

  • Registrar : L'ICANN désigne pour chaque TLD un ensemble d'organisations autorisées à allouer des noms de domaines pour un TLD donné. Par exemple "Oléane" (France-Télécom) et "BookMyName.com" (Free.fr) sont deux "registrars" français pour le domaine ".com". Pour allouer un nom de domaine, le "registar" consulte la base de donnée maintenue par le "registry" pour savoir si le nom de domaine est libre, puis enregistre (toujours au niveau du "registry") ce nouveau nom. Le "registrar" paie le "registry" pour chaque domaine alloué (il semblerait que le coût soit de l'ordre de 6 dollars par nom de domaine).

    Pour connaître le "registry" de chaque TLD, vous pouvez consulter la page : http://www.iana.org/root-whois/com.htm
  • Le modèle "Shared Registration System" (SRS) : Ce modèle est celui adopté pour la gestion des domaines ".com" et ".net". Dans ce modèle, le "registry" maintient une mini base "Whois" qui contient essentiellement le "statut" du nom de domaine et le nom du "registrar" responsable de ce nom de domaine. Le "registrar" maintient pour sa part une base "Whois" classique qui décrit plus complètement le domaine : propriétaires, responsable technique, etc...

Exemple des informations de niveau "registry" et de niveau "registrar" pour le domaine "microsoft.com" :

[Informations de niveau "registry"]

   Domain Name: MICROSOFT.COM
   Registry: VeriSign, Inc. - http://www.verisign-grs.com
   Registrar: TUCOWS INC. - http://domainhelp.tucows.com
   Registrar Whois Server: whois.opensrs.net
   Name Server: NS3.MSFT.NET
   Name Server: NS1.MSFT.NET
   Name Server: NS5.MSFT.NET
   Name Server: NS2.MSFT.NET
   Name Server: NS4.MSFT.NET
   Status: REGISTRAR-LOCK
   Updated Date: 23-jun-2004
   Creation Date: 02-may-1991
   Expiration Date:03-may-2014

[Informations de niveau "registrar" (extrait) ]

 Registrant:
   Microsoft Corporation
   One Microsoft Way
   Redmond, WA 98052
   US
 
 Domain name: MICROSOFT.COM
 
 Administrative Contact:
    Administrator, Domain  domains@microsoft.com
    One Microsoft Way
    Redmond, WA 98052
    US
 […]

"Statuts" pour un nom de domaine

A chaque nom de domaine est associé un "statut". Voici la liste des statuts possibles.

  • ACTIVE : c'est l'état normal d'un nom de domaine alloué. Dans la logique des choses, un domaine passe donc de l'état "libre" (il n'existe pas) à l'état "active" (il est alloué).
  • REGISTRY-LOCK ou REGISTRAR-LOCK : le nom de domaine est actif, mais il a été verrouillé pour plus de sécurité. Le verrou peut être posé par le "registry" ou par le "registrar" (d'où les deux statuts). Lorsqu'il est verrouillé, un nom de domaine ne peut plus être modifié, sauf si le "registry/registrar" lève au préalable le verrou en faisant repasser le domaine à l'état "active". Un domaine "verrouillé" ne peut pas être modifié, transféré ou détruit. C'est pour cela que l'on dit qu'il est "sécurisé".
  • REGISTRY-HOLD ou REGISTRAR-HOLD : le nom de domaine est "suspendu". Cela veut dire qu'il est verrouillé, et qu'en plus il est ôté du DNS. Le nom de domaine devient donc inutilisable. Il s'agit d'une mesure de "punition" qui peut être utilisé par exemple en cas de litige sur un nom de domaine. Cette mesure peut être aussi utilisée pour un nom de domaine délictueux qui par exemple ressemble à un nom de banque et qui a été créé pour réaliser un "phishing". Placer ce nom de domaine en "hold" (plutôt que de le détruire) empêche la ré-utilisation de ce nom (enregistrement auprès d'un autre "registrar").
  • REDEMPTIONPERIOD : quand un nom de domaine est expiré (parce que son propriétaire n'a pas payé pour le renouvellement), et que ce nom de domaine est enregistré depuis plus de 5 jours (un nom de domaine créé depuis moins de 5 jours peut être détruit "sans sommation", et sans que le "registrar" doive payer le "registry" pour l'enregistrement du nom de domaine), alors il entre en période de "rédemption". Dès l'entrée en "rédemption", le nom de domaine est ôté du DNS et devient inaccessible (plus de résolution DNS). Si le propriétaire a oublié de payer le renouvellement de son nom de domaine, il se produit une panne sur son site web (celui-ci n'est plus accessible) et il peut alors régulariser la situation. Par contre, si rien ne se passe dans les 30 jours, le nom de domaine passe à l'état "pendingdelete" (voir ci-dessus).
  • PENDINGRESTORE : le nom de domaine est publié à nouveau, mais ne sera actif dans les 7 jours si tous les éléments administratifs sont fournis dans ce délai. A défaut le nom de domaine revient dans l'état REDEMPTIONPERIOD.
  • PENDINGDELETE : la REDEMPTIONPERIOD est terminée. Le  nom de domaine sera  détruit exactement 5 jours plus tard. Ce délai permet à tout le monde de se préparer pour être le premier à créer à nouveau ce nom de domaine ...
Pour plus d'information

Exemple d'un moteur "Whois" qui différentie clairement les informations de niveau "registry" (et en particulier le "statut") de celles de niveau "registrar" :   http://www.completewhois.com/