Rotação da KSK da Zona Raiz
Em outubro de 2017, a ICANN está planejando rotar (ou modificar) o par "superior" das chaves criptográficas usadas no protocolo DNSSEC, comumente conhecida como a KSK (Key Signing Key) da Zona Raiz. Vai ser a primeira vez desde sua criação em 2010 que a KSK vai ser alterada. Este é um passo importante para a segurança, assim como é considerada uma boa prática que qualquer usuário da Internet mude as suas senhas regularmente.
Trocar a chave significa gerar um novo par de chaves criptográficas e distribuir o novo componente público a todos os resolvedores que validam DNSSEC a nível mundial. Esta vai ser uma mudança significativa já que cada consulta à Internet que usa DNSSEC depende da KSK da zona raiz para que o destino seja validado.
Uma vez geradas as novas chaves, os operadores que validam DNSSEC deverão atualizar os seus sistemas com a nova chave para que, quando um usuário quiser navegar na Internet, possa validar contra a nova KSK.
Manter uma KSK atualizada é fundamental para garantir que os resolvedores de DNS que validam DNSSEC continuem funcionando depois da rotação.
Não ter a KSK da zona raiz atualizada vai significar que os resolvedores de DNS que validam DNSSEC não poderão resolver consulta alguma ao DNS.
Quem deve agir?
Os operadores de rede que usam resolvedores que validam DNSSEC devem atualizar seus sistemas com a nova KSK para ajudar a garantir que os usuários possam acessar a Internet sem problemas.
-
Se a sua organização estiver realizando a validação DNSSEC e seu software suporta atualizações automáticas das âncoras de confiança do DNSSEC em conformidade com RFC 5011, a KSK se irá atualizar automaticamente no momento apropriado. Possivelmente não vai ter que ser feito mais nada, embora alguns dispositivos possam requerer ajuda manual.
-
Se a sua organização estiver realizando validação DNSSEC e seu software não suportar atualizações automáticas das âncoras de confiança do DNSSEC em conformidade com RFC 5011 ou não estiver configurado para usuários, deverá atualizar o arquivo de âncoras de confiança do software de forma manual.
Em qualquer um dos casos, é conveniente revisar y testar os sistemas antes da rotação da KSK para confirmar quais as medidas necessárias. A ICANN está oferecendo para os operadores uma plataforma de testes gratuita para ajudar a determinar se seus sistemas podem gerenciar corretamente as atualizações automáticas ou não. LACNIC vai entrar em contato com todos os seus membros para assessorá-los sobre a rotação da KSK e oferecerá informações e recursos para ajudá-los a tomar as medidas adequadas.
Para mais informações (English):