A organização da ICANN acredita que a atualização da âncora de confiança das Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) para o DNS (Sistema de Nomes de Domínio),que será realizada no dia 11 de outubro de 2018, afetará apenas um pequeno número de usuários do DNS. A decisão de implementar a chave de assinatura de chaves (KSK) foi tomada depois de um trabalho significativo de divulgação e da consideração de todos os dados disponíveis.
Como a zona raiz do DNS foi assinada originalmente em 2010, a Declaração de Prática e Política de DNSSEC1 definiu a expectativa de que a KSK da zona raiz mudasse. Por sorte, a maioria dos resolvedores de validação que observam a nova KSK da zona raiz devem poder configurá-la como nova âncora de confiança automaticamente, usando as "atualizações automatizadas das âncoras de segurança das extensões de segurança do DNS", definidas na RFC50112. Os operadores de resolvedores também podem atualizar a configuração da âncora de confiança manualmente se, graças ao trabalho de divulgação da ICANN, já souberem que a KSK da raiz vai mudar.
Não existe uma maneira padronizada ou determinada de verificar ativamente se um resolvedor de validação tem o conjunto correto de âncoras de confiança configurado. O melhor método disponível atualmente é a "indicação de conhecimento de âncora de confiança nas Extensões de Segurança do DNS" (documentada na RFC 81453), publicada em abril de 2017. Nesse protocolo, os validadores emitem uma consulta ao DNS cujo nome contém os IDs da chave DNSKEY das âncoras configuradas. Essas consultas podem ser observadas de forma passiva no tráfego dos servidores raiz. Em setembro de 2017, havia vários resolvedores usando esse protocolo, e os anúncios de âncoras de confiança demonstraram uma porcentagem mais alta que a esperada de configurações erradas. No entanto, o sinal observado nesse momento não era bem entendido e, por isso, a organização da ICANN decidiu adiar a renovação da KSK para entender melhor o sinal com a ajuda da comunidade técnica.
Algumas pesquisas da equipe do gabinete do CTO da organização da ICANN (OCTO) e outras revelaram preocupações com a qualidade dos dados da RFC 8145. Por exemplo, uma consulta ao DNS com informações sobre a âncora de confiança enviada a um encaminhador é tratada da mesma forma que qualquer outra consulta e não é enviada a um servidor raiz, sem importar se o encaminhador é validador ou não. Em um dos casos, uma famosa implementação de resolvedor do DNS sinalizou a âncora de confiança, mas o resolvedor não estava configurado para validar e, portanto, não tinha a nova âncora de confiança. Essa decisão de implementação foi revertida em uma versão subsequente do software. Em outro caso, uma conhecida biblioteca de resolvedores do DNS sinalizava a âncora de confiança, mas não tinha um método para atualizar automaticamente a configuração de âncora de confiança. Por isso, uma implementação de uma VPN de usuário único bastante popular usando essa biblioteca de resolvedores do DNS emitia o sinal da antiga âncora de confiança de diferentes endereços de origem ao longo do tempo. Wes Hardaker do Instituto de Ciências da Informação da University of Southern California descobriu esse comportamento, e o fornecedor que usava essa biblioteca foi informado e atualizou o software. Essa mudança reduziu significativamente o número de fontes que informavam a âncora de confiança antiga.4
No entanto, os dados da RFC 8145 informam os resolvedores, sem indicar o número de usuários finais que dependem desses resolvedores. Para entender o tamanho da população de usuários por trás dos resolvedores de validação, o Registro Regional da Internet da região Ásia-Pacífico (APNIC) usou um sistema de medição que utiliza a rede de publicidade do Google para consultar o DNS. Analisando a intersecção entre as fontes de sinalização da âncora de confiança da ICANN e as próprias fontes de resolvedores, e depois fazendo a extrapolação, o APNIC calculou que apenas 0,05% dos usuários da Internet seriam afetados de forma negativa pela renovação da KSK da raiz.5
Em breve, a organização da ICANN entrará em contato com os 1.000 provedores de serviços de Internet (ISPs) com o tráfego de resolvedores mais ativo que sugere que a validação das DNSSEC foi ativada para garantir que eles saibam que a renovação da KSK da raiz será realizada em 11 de outubro de 2018. Esses provedores também receberão uma pesquisa sobre os planos de preparação para a renovação da KSK, o que pode contribuir com a divulgação dessa renovação.
Desde o primeiro anúncio do desenvolvimento de planos para renovar a âncora de confiança em 2015, a organização da ICANN mantém uma campanha de divulgação que (até agora) já teve aproximadamente 100 apresentações em conferências internacionais, regionais e nacionais, e mais de 150 notícias na imprensa técnica. Além disso, a organização da ICANN publicou nove artigos no blog relacionados à renovação da âncora de confiança e continua conversando com os ISPs que têm resolvedores de validação em suas redes mas que, segundo os dados da RFC 8145, parecem não ter a nova âncora de confiança configurada.
Como resultado desse trabalho e dos dados que conseguimos coletar, a organização da ICANN aumentou a confiança em que a renovação da KSK planejada para 11 de outubro de 2018 afetará apenas uma fração mínima dos usuários do DNS.
1 https://www.iana.org/dnssec/icann-dps.txt
2 https://datatracker.ietf.org/doc/rfc5011/
3 https://datatracker.ietf.org/doc/rfc8145/
4 http://root-trust-anchor-reports.research.icann.org/
5 http://www.potaroo.net/ispcol/2018-04/ksk.pdf [PDF, 184 KB]
