Rotación de la KSK de la Zona Raíz

En octubre de 2017, ICANN está planeando rotar —o modificar— el par "superior" de claves criptográficas utilizadas en el protocolo DNSSEC, habitualmente conocido como KSK (Key Signing Key) de la Zona Raíz. Será la primera vez que se cambia la KSK desde que fue genera inicialmente en 2010. Se trata de un paso importante para la seguridad, del mismo modo que se considera una buena práctica que cualquier usuario de Internet cambie sus contraseñas de forma regular.

Cambiar la clave implica generar un nuevo par de claves criptográficas y distribuir el nuevo componente público a todos los resolvedores que validan DNSSEC a nivel global. Este será un cambio significativo dado que cada consulta a Internet que utiliza DNSSEC depende de la KSK de la zona raíz para validar el destino.

Una vez que se hayan generado las nuevas claves, los operadores de red que realicen validación DNSSEC deberán actualizar sus sistemas con la nueva clave de modo que, cuando un usuario intente visitar un sitio web, pueda validar contra la nueva KSK.

Mantener una KSK actualizada es fundamental para asegurar que los resolvedores de DNS que validan DNSSEC continúen funcionando luego de la rotación.

No tener la KSK de la zona raíz actualizada significa que los resolvedores de DNS que validan DNSSEC no podrán resolver ninguna consulta al DNS.

¿Quiénes deben hacer algo al respecto?

Los operadores de red que utilizan resolvedores que validan DNSSEC deben actualizar sus sistemas con la nueva KSK para ayudar a garantizar que los usuarios puedan acceder a Internet sin problemas.

  • Si su organización está realizando validación DNSSEC y su software soporta actualizaciones automáticas de las anclas de confianza del DNSSEC (RFC 5011), la KSK se actualizará automáticamente en el momento apropiado. Puede que no sea necesario hacer nada más, aunque algunos dispositivos pueden requerir de una intervención manual.
  • Si su organización está realizando validación DNSSEC y su software no soporta actualizaciones automáticas de los anclajes de confianza del DNSSEC (RFC 5011) o no está configurado para usarlos, deberá actualizar manualmente el archivo de anclas de confianza del software.

En cualquier caso, vale la pena revisar y probar los sistemas antes de la rotación de la KSK para confirmar qué medidas serán necesarias. ICANN está ofreciendo a los operadores una plataforma de pruebas gratuita para ayudarles a determinar si sus sistemas pueden manejar correctamente las actualizaciones automáticas. LACNIC se pondrá en contacto con todos sus miembros para asesorarles sobre la rotación de la KSK y ofrecerá información y recursos para ayudarles a tomar las medidas apropiadas.

Fechas importantes

La rotación de la KSK llevará varios meses. Una vez que se publique la nueva KSK, los sistemas se podrán actualizar en cualquier momento.

11 de julio de 2017 Publicación de la nueva KSK en el DNS
19 de septiembre de 2017 Aumento de tamaño para respuesta DNSKEY de los servidores de nombres raíz
11 de octubre de 2017 La nueva KSK comienza a firmar el conjunto de claves de la zona raíz (rotación propiamente dicha)
11 de enero de 2018 Revocación de la vieja KSK
22 de marzo de 2018 Último día que la vieja KSK aparece en la zona raíz
Agosto de 2018 La vieja clave se borra de los equipos en ambas Instalaciones de Gestión de Clave de ICANN

Para más información: