مدونات ICANN

اقرأ مدونات ICANN لتبقى على اطلاع على آخر أنشطة وضع السياسات والمحافل الإقليمية وغيرها.

Início das operações de implementação da KSK

27 أكتوبر 2016
بقلم David Conrad

null

Hoje a ICANN criou uma nova KSK (Key Signing Key, Chave de Assinatura de Chave) de zona raiz. Esse novo par de chaves criptográficas públicas e privadas foi criado durando a cerimônia trimestral de KSK da raiz no nosso escritório de gerenciamento de segurança de chaves em Culpeper, na Virgínia. Essa geração de chaves marcou o começo da fase operacional inicial da primeira implementação de KSK de raiz, o processo de alteração da "chave mestra" do DNS (Domain Name System, Sistema de Nomes de Domínio). O processo completo de implementação da KSK deverá levar aproximadamente dois anos.

A KSK da zona raiz serve como o ponto inicial de confiança para a validação de DNSSEC (DNS Security Extensions, Extensões de Segurança do DNS), de modo semelhante à maneira que a própria zona raiz serve de ponto inicial para a resolução do DNS. Os softwares que realizam a validação de DNSSEC confiam na parte pública da KSK de zona raiz, que foi configurada nos resolvedores e é conhecida como a "âncora de confiança" da raiz. Os softwares de validação de DNSSEC começam com a âncora de confiança para construir uma "cadeia de confiança" de chaves e assinaturas sucessivas a fim de verificar a autenticidade dos dados assinados nas respostas do DNS. No entanto, como qualquer senha, a chave da raiz deve ser alterada periodicamente. Executar uma implementação de KSK minimiza o risco de que a chave seja comprometida e ajuda a garantir que seja possível alterar a chave se algum dia ela for comprometida ou perdida.

Agora que a nova chave foi gerada, ela será preparada para a implantação operacional nos próximos meses. Uma cópia da parte privada do par de chaves será armazenada no segundo escritório de gerenciamento de chaves da ICANN em El Segundo, na Califórnia. O arquivo de âncora de confiança disponível em iana.org será atualizado com a nova KSK em fevereiro de 2017. Depois disso, os integradores e desenvolvedores de software do DNS deverão incluir a nova chave em seus produtos. A nova KSK ficará visível para todos quando for publicada pela primeira vez no DNS em 11 de julho de 2017. Essas atividades estão todas relacionadas ao evento de implementação, quando a nova chave será usada para assinaturas na zona raiz pela primeira vez, o que ocorrerá em 11 de outubro de 2017.

Os operadores de rede que não ativaram a validação de DNSSEC em seus resolvedores do DNS precisarão atualizar seus sistemas com a nova KSK de raiz depois que ela for publicada.

Se a nova âncora de confiança não for instalada após 11 de outubro de 2017, todas as pesquisas no DNS realizada pelos resolvedores que não foram atualizados apresentarão uma falha.

Se essas falhas ocorrerem, os clientes que estiverem usando esses resolvedores se comportarão como sites da Web, endereços de e-mail e todos os outros domínio não existirão. Felizmente, a maioria dos resolvedores modernos de validação tem um mecanismo automatizado para atualizar a âncora de confiança. No entanto, depois que a nova âncora de confiança for publicada em fevereiro de 2017, os operadores de rede deverão garantir que a nova âncora de confiança tenha sido implantada. Para isso, é necessário confirmar que ela foi atualizada automaticamente ou fazer uma configuração manual.

Saiba mais sobre a implementação da KSK.

Authors

David Conrad

David Conrad