Rotação da KSK da Zona Raiz

Em outubro de 2017, a ICANN está planejando rotar (ou modificar) o par "superior" das chaves criptográficas usadas no protocolo DNSSEC, comumente conhecida como a KSK (Key Signing Key) da Zona Raiz.  Vai ser a primeira vez desde sua criação em 2010 que a KSK vai ser alterada.  Este é um passo importante para a segurança, assim como é considerada uma boa prática que qualquer usuário da Internet mude as suas senhas regularmente.

Trocar a chave significa gerar um novo par de chaves criptográficas e distribuir o novo componente público a todos os resolvedores que validam DNSSEC a nível mundial.  Esta vai ser uma mudança significativa já que cada consulta à Internet que usa DNSSEC depende da KSK da zona raiz para que o destino seja validado.

Uma vez geradas as novas chaves, os operadores que validam DNSSEC deverão atualizar os seus sistemas com a nova chave para que, quando um usuário quiser navegar na Internet, possa validar contra a nova KSK.

Manter uma KSK atualizada é fundamental para garantir que os resolvedores de DNS que validam DNSSEC continuem funcionando depois da rotação.

Não ter a KSK da zona raiz atualizada vai significar que os resolvedores de DNS que validam DNSSEC não poderão resolver consulta alguma ao DNS.

Quem deve agir?

Os operadores de rede que usam resolvedores que validam DNSSEC devem atualizar seus sistemas com a nova KSK para ajudar a garantir que os usuários possam acessar a Internet sem problemas.

  • Se a sua organização estiver realizando a validação DNSSEC e seu software suporta atualizações automáticas das âncoras de confiança do DNSSEC em conformidade com RFC 5011, a KSK se irá atualizar automaticamente no momento apropriado.  Possivelmente não vai ter que ser feito mais nada, embora alguns dispositivos possam requerer ajuda manual.

  • Se a sua organização estiver realizando validação DNSSEC e seu software não suportar atualizações automáticas das âncoras de confiança do DNSSEC em conformidade com RFC 5011 ou não estiver configurado para usuários, deverá atualizar o arquivo de âncoras de confiança do software de forma manual.

Em qualquer um dos casos, é conveniente revisar y testar os sistemas antes da rotação da KSK para confirmar quais as medidas necessárias.  A ICANN está oferecendo para os operadores uma plataforma de testes gratuita para ajudar a determinar se seus sistemas podem gerenciar corretamente as atualizações automáticas ou não. LACNIC vai entrar em contato com todos os seus membros para assessorá-los sobre a rotação da KSK e oferecerá informações e recursos para ajudá-los a tomar as medidas adequadas.

Datas importantes

A rotação da KSK vai levar vários meses: uma vez publicada a nova KSK, os sistemas poderão atualizar a qualquer momento. 

11 de julho de 2017 Publicação da nova KSK no DNS
19 de setembro de 2017 Aumento do tamanho para resposta DNSKEY dos servidores de nomes raiz
11 de outubro de 2017 A nova KSK começa a assinar o conjunto de chaves da zona raiz (a rotação propriamente dita)
11 de janeiro de 2018 Revogação da antiga KSK
22 de março de 2018 Último dia que a antiga KSK aparece na zona raiz
Agosto de 2018 A antiga chave se apaga dos equipamentos das duas Instalações de Gestão de Chave da ICANN

Para mais informações (English):