Traspaso de la KSK de la zona raíz
Para obtener información actualizada sobre el estado, visite la página sobre el estado del traspaso. Las actualizaciones se enviarán a la lista de correo electrónico https://mm.icann.org/listinfo/ksk-rollover. En caso de tener una emergencia con su resolutor, por favor lea la información que se encuentra a continuación.
Descripción general
Recursos
Participe
Antecedentes
Cronograma preliminar
Planes operacionales
Plan de comunicaciones
Noticias
1 de febrero de 2018 – Anuncio del plan preliminar para continuar con el traspaso de la KSK
18 de diciembre de 2017 – Actualización sobre el proyecto de traspaso de la KSK de la zona raíz
27 de septiembre de 2017 – Traspaso de la KSK pospuesto
7 de septiembre de 2017 – Atención Operadores de Redes y Proveedores de Servicios de Internet (ISP): ¡determinen su preparación para el traspaso de la KSK de la zona raíz!
27 de octubre de 2016 – Comienzan las operaciones de traspaso de la KSK
Actualizaciones técnicas
1 de febrero de 2018 – Anuncio del plan preliminar para continuar con el traspaso de la KSK
18 de diciembre de 2017 – Actualización sobre el proyecto de traspaso de la KSK de la zona raíz
17 de octubre de 2017 – Aplazamiento del traspaso de la KSK de la zona raíz
27 de septiembre de 2017 – La ICANN anuncia un aplazamiento para el traspaso de la KSK
4 de septiembre de 2017 – Revisión de los anclajes de confianza actuales en los resolutores de validación del DNS
4 de septiembre de 2017 – Actualización de los resolutores de validación del DNS con el ultimo anclaje de confianza
11 de julio de 2017 – La KSK de 2017 se encuentra publicada en el DNS
Descripción general
La ICANN está planificando llevar a cabo el traspaso de la clave para la firma de la llave (KSK) de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) de la zona raíz como se requiere en la Declaración de Prácticas de DNSSEC de los Operadores de KSK de la Zona Raíz [TXT, 99 KB].
El traspaso de la KSK significa la generación de un nuevo par de claves cifradas (pública y privada), y la distribución del nuevo componente público a las partes que operan los resolutores de validación, entre ellos: Proveedores de Servicios de Internet; administradores de redes empresariales y otros operadores de resolutores del Sistema de Nombres de Dominio (DNS); desarrolladores de software de resolutores del DNS; integradores de sistemas; y distribuidores de hardware y software que instalan o remiten el "anclaje de confianza" de la raíz. La KSK se utiliza para firmar criptográficamente la Clave para la firma de la llave de la zona raíz (ZSK) que utiliza la entidad encargada del mantenimiento de la Zona Raíz para firmar con DNSSEC la zona raíz del DNS de Internet.
Mantener una KSK actualizada es esencial para garantizar que los resolutores del DNS de validación de DNSSEC continúen funcionando tras el traspaso. No contar con la KSK de la zona raíz actual implicará que los resolutores del DNS de validación de DNSSEC no podrán resolver ninguna consulta del DNS.
Los planes de traspaso fueron desarrollados por los Socios en la Gestión de la Zona Raíz; la ICANN en su rol de entidad operadora de las funciones de la IANA (Autoridad de Números Asignados en Internet), Verisign como la entidad encargada del mantenimiento de la Zona Raíz y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de los Estados Unidos como la entidad administradora de la Zona Raíz. El rol de la NTIA finalizó el 1 de octubre de 2016. Los planes para el traspaso de la KSK se publicaron en julio de 2016 e incorporan las recomendaciones del Equipo de Diseño [PDF, 1.01 MB].
Recursos
Puede encontrar información relacionada y recursos adicionales en:
- Qué esperar durante el traspaso de la KSK de la Raíz [PDF, 72 KB]
- Guía Rápida: Preparación de los sistemas para el traspaso de la firma de la llave (KSK) de la zona raíz [PDF, 48 KB]
- Revisión de los anclajes de confianza actuales en los resolutores de validación del DNS
- Actualización de los resolutores de validación del DNS con el ultimo anclaje de confianza
- Recomendaciones para la KSK de la Zona Raíz de las DNSSEC [PDF, 1.01 MB]
- Página informativa sobre las DNSSEC
- DNSSEC para Todos - Una guía para principiantes (ICANN55)
- Taller sobre las DNSSEC (ICANN55)
- IANA - Gestión de la Zona Raíz
- Asesoramiento del SSAC sobre el traspaso de claves de DNSSEC en la zona raíz [PDF, 480 KB]
- Seminario web sobre la actualización del traspaso de la KSK – Presentado por Matt Larson [PDF, 741 KB]
- Una mirada al documento RFC 8145 sobre señalización del anclaje de confianza para el traspaso de la KSK de 2017 – Presentado por Duane Wessels de VeriSign [PDF, 895 KB]
Participe
Formule una pregunta
Para presentar su pregunta, envíe un correo electrónico a globalsupport@icann.org indicando "Traspaso de KSK" en la línea de asunto.
Participe de un evento
Consulte el calendario de eventos para conocer las próximas presentaciones sobre el traspaso de la KSK.
Participe en las redes sociales
Use el hashtag #KeyRoll para unirse a la conversación: https://twitter.com/icann
Únase a la lista de discusión sobre el traspaso de la KSK
Suscríbase a la lista de correo electrónico para discusiones públicas sobre temas relacionados: https://mm.icann.org/listinfo/ksk-rollover
Difunda la información
Comparta esta página web con otras personas para ayudarlas a informarse sobre el traspaso de la KSK y cómo pueden verse afectadas.
Información de referencia
En 2009, los socios de la RZM (Gestión de la Zona Raíz) colaboraron para implementar las DNSSEC en la Zona Raíz, lo que culminó con la primera publicación de una zona raíz firmada y validada en el mes de julio de 2010.
Los requisitos [PDF, 116 KB] para generar y mantener la KSK de la zona raíz, así como las respectivas responsabilidades de cada socio de la RZM, fueron especificados por la NTIA. Los procedimientos a partir de los cuales la entidad encargada del mantenimiento de la Zona Raíz (Verisign) y la entidad operadora de las funciones de la IANA (ICANN) cumplen con estos requisitos se publicaron en Declaraciones de Prácticas (DPS) de DNSSEC independientes: DPS para el servicio de firma de las DNSSEC de VeriSign [PDF, 138 KB] y DPS para los Operadores de KSK de la zona raíz [TXT, 99 KB].
El Contrato de Funciones de la IANA entre la NTIA y la ICANN se modificó en julio de 2010 para incorporar las responsabilidades asociadas con la gestión de KSK de la Zona Raíz, así como también aquellos requisitos que se habían aplicado en posteriores revisiones de aquel contrato.
El Acuerdo de Cooperación entre la NTIA y VeriSign también se enmendó en julio de 2010 a fin de incluir las responsabilidades de VeriSign como operador de ZSK de la Zona Raíz.
El Contrato de Funciones de la IANA requirió un traspaso de la KSK de la Zona Raíz, pero no proporcionó requisitos detallados ni un plan de Implementación o cronograma detallado. La Declaración de Práctica para los Operadores de KSK de la Zona Raíz contiene esta declaración y establece el requisito de traspaso en la Sección 6.5:
"Toda KSK de la Zona Raíz realizará un traspaso mediante una ceremonia de claves según lo requerido por cronograma o cada cinco años de operación".
Cronograma
Estas fechas están sujetas a cambio en función de consideraciones operativas.
- 27 de octubre de 2016: el proceso de traspaso de la KSK comienza cuando se genera la nueva KSK.
- 11 de julio de 2017: publicación de la KSK nueva en el DNS.
- 19 de septiembre de 2017: Aumento de tamaño de la respuesta de DNSKEY de los servidores de nombres raíz.
- 1 de febrero de 2018: Comienzo del período de Comentario Público sobre el plan para retomar el traspaso de la KSK, el cual cierra el día 2 de abril de 2018.
- A medida que se actualicen los planes del proyecto para el traspaso de la KSK de la raíz, se anunciarán más fechas
Planes operativos
- Plan de implementación operativa de traspaso de la KSK de 2017[PDF, 741 KB] - Describe en detalle los pasos operativos para llevar a cabo el proyecto de traspaso de la KSK de 2017, incluido el cronograma del proceso compuesto por ocho etapas. - Actualmente este documento está siendo actualizado para reflejar el aplazamiento anunciado el día 27 de septiembre de 2017.
- Plan Alternativo para el Traspaso de la KSK de 2017[PDF, 506 KB] - Describe las desviaciones anticipadas del Plan de Implementación Operacional en función de las anomalías que se produzcan al ejecutar el plan operativo.- Actualmente este documento está siendo actualizado para reflejar el aplazamiento anunciado el 27 de septiembre de 2017.
- Plan de prueba externa del traspaso de la KSK de 2017[PDF, 516 KB] - Abarca la preparación de entornos de prueba operativos, a los cuales el público general de Internet puede acceder, a fin de evaluar si los sistemas externos están listos para participar en el traspaso de la KSK.
- Plan de supervisión del traspaso de la KSK de 2017[PDF, 480 KB] - Describe el plan para supervisar los efectos de cambiar el anclaje de confianza para la zona raíz en el tráfico hacia los servidores raíz.
- Plan de prueba de sistemas de traspaso de la KSK 2017[PDF, 519 KB] - Describe las acciones necesarias para evaluar los cambios a la infraestructura de la ICANN involucrados en el traspaso de la KSK.
Plan de comunicaciones
La ICANN está llevando a cabo una extensa campaña de difusión para garantizar que aquellos que actualmente usan la KSK tomen conocimiento del cambio.
Archivo de noticias
3 de octubre de 2016 – En primer lugar: La ICANN generará una nueva clave de DNSSEC (InfoWorld)
19 de septiembre de 2016 – La clave criptográfica que protege a la Web se está cambiando por primera vez (Motherboard)
15 de septiembre de 2016 – La ICANN prepara al mundo web para la actualización principal de seguridad de las DNSSEC (V3)
25 de agosto de 2016 – La clave maestra de las DNSSEC que protege a Internet está cambiando. ¿Deberíamos preocuparnos? (Techworld)
22 de julio de 2016 – DNSSEC: Traspaso de la Clave para la firma de la llave de la zona raíz
20 de julio de 2016 – La ICANN cambiará la clave secreta a Internet (Domain Incite)
21 de junio de 2016 – Mejores prácticas de seguridad: Validación de DNSSEC
9 de mayo de 2016 – Cambio de las claves a la Zona Raíz del Sistema de Nombres de Dominio (DNS)