Hoje, a Corporação da Internet para Atribuição de Nomes e Números ("ICANN") anunciou que o plano para alterar a chave criptográfica que ajuda a proteger o Sistema de Nomes de Domínio (DNS) foi adiada.
O fato de alterar a chave envolve gerar um novo par de chaves criptográficas e distribuir um novo componente público para resolvedores que validam as Extensões da Segurança do Sistema de Nomes de Domínio (DNSSEC). Com base numa quantidade estimada de usuários da Internet que utilizam resolvedores validados DNSSEC, estima-se que um em cada quatro usuários da Internet mundiais ou 750 milhões de pessoas poderiam ser afetados pela implementação da KSK.
A mudança ou "implementação" da Chave da KSK foi programada originalmente em 11 de outubro, mas vai ser adiada porque alguns dados obtidos recentemente mostram que uma quantidade importante de resolvedores usados pelos Provedores de Serviços de Internet (ISPs - Internet Service Providers) e Operadores de Redes não estão prontos ainda para a Implementação da Chave. A disponibilidade desses novos dados deve-se a um protocolo DNS muito recente que adiciona a capacidade para que um resolvedor possa informar aos servidores raiz das chaves configuradas por ele.
Há muitas razões de por que há operadores que não têm a nova chave instalada em seus sistemas: alguns talvez não tenham seu software resolvedor configurado corretamente e um problema descoberto recentemente em um programa de resolvedor muito popular parece não estar atualizando automaticamente a chave como deveria, por motivos que ainda estão sendo pesquisados.
A ICANN está contatando sua comunidade, incluindo seu Comitê Consultivo de Segurança e Estabilidade, os Registros de Internet Regionais, os Grupos de Operadores de Redes e outros para ajudar a pesquisar e resolver os problemas.
Por enquanto, a ICANN acredita que é prudente continuar com seu processo e adiar a alteração da chave, em vez de correr o risco de que uma quantidade importante de usuários da Internet sejam prejudicados pela alteração da chave. A ICANN está comprometida com continuar sua educação, comunicação e engajamento com as organizações técnicas pertinentes para garantir que estejam preparadas para a alteração da chave.
"A segurança, estabilidade e resiliência do sistema de nomes de domínio é nossa missão básica. Preferimos continuar em forma cautelosa e razoável do que continuar com a implementação na data anunciada - 11 de outubro," disse Göran Marby. "Seria irresponsável proceder a fazer a implementação de pois de termos identificados estes novos problemas que poderiam prejudicar seu sucesso e também prejudicar a capacidade de uma quantidade importante de usuários finais".
A nova data para a Implementação da Chave ainda não foi marcada. O Diretor de Tecnologia da ICANN diz que espera em forma tentativa poder reprogramar a Implementação da Chave para o primeiro trimestre de 2018, mas que isso vai depender de entender completamente as novas informações e de mitigar tantas falhas potenciais quanto possível.
A ICANN vai fornecer mais informações à medida que elas forem disponibilizadas e a nova data marcada para a Implementação da Chave será anunciada quando corresponder.
"Esperamos que os operadores de redes aproveitem este período adicional para ter certeza de que seus sistemas estão prontos para a Implementação da Chave", disse Marby. "Nossa plataforma de testes (http://go.icann.org/KSKtest) ajudará os operadores a garantir que seus resolvedores estejam configurados corretamente com a nova chave e nós continuaremos a estar em contato e a comunicados com eles".
Sobre o DNSSEC
Para identificar facilmente recursos na Internet, os endereços numéricos subjacentes para esses recursos são apresentados por cadeiras de caracteres que podem ser lidas por humanos. A conversão dessas cadeias para números é feita pelo Sistema de Nomes de Domínio (DNS) hierárquico e distribuído. Uma maior sofisticação em computação e redes desde que foi feito seu projeto, em 1983, fizeram com que esse "caderno telefônico" ficasse vulnerável a ataques. Em resposta a essas ameaças, a organização internacional de padrões, a IETF, desenvolveram o DNSSEC para garantir criptograficamente que o conteúdo no DNS não pudesse ser modificado na sua fonte sem que a modificação fosse detectada. Só quando estiver inteiramente implementado, o DNSSEC vai deter a capacidade dos atacantes de redirecionar os usuários que utilizam o DNS.
##
Para ficar informado sobre os desenvolvimentos da Implementação da KSK, visite esse site: https://www.icann.org/resources/pages/ksk-rollover
Nas redes sociais, use: #Keyroll