Como garantir a integridade do primeiro nível do DNS por meio de práticas recomendadas de segurança
Em julho de 2010, a ICANN, a Verisign e a NTIA adicionaram um nível de proteção à camada superior do DNS da Internet usando uma tecnologia conhecida como DNSSEC, que significa Extensões de Segurança do Sistema de Nomes de Domínio. Essa tecnologia foi desenvolvida para proteger os usuários da Internet contra ataques que podem resultar no sequestro de nomes de domínio e certos tipos de servidores comprometidos. O uso do DNSSEC aumenta a garantia de que as informações obtidas do DNS não foram modificadas durante a movimentação da fonte dos dados para a máquina que enviou a consulta em nome de um usuário. Isso é feito por meio da assinatura digital e validação dos dados do DNS. Essa validação depende de uma "âncora de confiança", ou chave, que está associada à raiz do DNS.
Assim como qualquer chave, senha ou sistema de segurança, a âncora de confiança precisa ser atualizada regularmente. Seguindo as práticas recomendadas, a equipe da ICANN que atua como o operador da função da IANA, juntamente com os outros parceiros dedicados ao gerenciamento da zona raiz (a Verisign, atuando como o mantenedor da zona raiz, e a NTIA [National Telecommunications and Information Administration, Administração Nacional de Telecomunicações e Informações] do Departamento de Comércio dos EUA, atuando como o administrador da zona raiz), têm trabalhado para preparar a "implantação" ou a alteração o par de chaves privado e público de criptografia que será a KSK (Key Signing Key, Chave de Assinatura de Chave) da zona raiz, o aspecto público que serve como a âncora de confiança do DNSSEC da Internet. A implantação da KSK significa gerar um novo par de chaves e distribuir o componente público para as partes que desenvolvem, distribuem ou operam os resolvedores responsáveis pela validação. A implantação da KSK pode ser comparada a trocar as fechaduras de uma casa. Nos casos em que os nomes de domínio são assinados no DNSSEC, sempre que um usuário da Internet tentar se conectar a um servidor identificado por um nome de domínio, a chave é colocada na fechadura para verificar se os dados associados a esse nome de domínio são autênticos. No entanto, se a fechadura for trocada e as chaves não foram atualizadas de acordo, a porta não abrirá, o nome de domínio não será solucionado e a tentativa de conexão não será concluída. O possível impacto da implantação ressalta a necessidade de uma distribuição ampla e adequada da âncora de confiança da nova KSK. Para garantir que a comunidade esteja ciente das últimas atualizações sobre a implantação da KSK e a nova âncora de confiança resultante disso, criamos esta página de recursos.
Quando a comunidade da Internet implementou o DNSSEC na raiz pela primeira vez, os parceiros dedicados ao gerenciamento da zona raiz, em consulta com a comunidade, especificaram que "a KSK será implantada por meio de uma cerimônia de chaves, conforme necessário, ou após 5 anos de operação". Embora algumas pessoas na comunidade tenham visto isso como um prazo de cinco anos, o cronograma para a implantação da KSK deve ser contingente com relação à realidade operacional da Internet. No último ano ou mais, a transição da administração da IANA tem sido o assunto mais discutido publicamente do ponto de vista das comunicações, mas o trabalho relacionado à implantação da KSK continuou sendo realizado em paralelo. Em breve, para garantir que a comunidade esteja ciente de todo o trabalho e verificações referentes às atividades da implantação da KSK, vou fornecer atualizações regulares sobre o andamento do nosso trabalho. Além disso, vamos realizar sessões nos encontros da ICANN e em outros fóruns técnicos para fornecer informações detalhadas sobre a implantação da KSK e as ações que precisam ser efetivadas pelos responsáveis a fim de garantir que a implantação da KSK seja feita sem complicações.
Nas próximas semanas, vamos dar mais detalhes sobre a implantação da KSK, mas seguem abaixo algumas informações para todos terem uma ideia do cronograma planejado:
- Outubro de 2016: início do processo de preparação da chave da nova implantação de KSK
- Novembro de 2016: geração da nova KSK
- Julho de 2017: inserção da nova KSK
- Outubro de 2017: retirada da KSK antiga
- Janeiro de 2018: revogação da KSK antiga
- Março de 2018: conclusão do processo de implantação da KSK
Esse cronograma está sujeito a alterações conforme as circunstâncias: a implantação da KSK, bem como você alterar a senha periodicamente, é uma prática recomendada, mas ela precisa ser feita com cuidado e consideração a fim de garantir que não cause interrupções na operação do DNS da Internet.
Todos que estiverem interessados em participar na implantação da KSK podem se inscrever na lista de e-mails das discussões públicas em https://mm.icann.org/listinfo/ksk-rollover. Em caso de dúvidas, envie um e-mail com suas perguntas para globalsupport@icann.org incluindo "KSK Rollover" (implantação da KSK) no assunto.
O DNSSEC e a implantação da KSK são contribuições importantes para um DNS mais seguro e consistente. Estamos comprometidos em trabalhar com os nossos parceiros responsáveis pelo gerenciamento da zona raiz, operadores do DNS e a comunidade da Internet em geral no desenvolvimento desse esforço tão importante nos próximos dois anos. Enquanto toda a comunidade da Internet se prepara para a primeira implantação da KSK, temos a satisfação de ter em mãos essa oportunidade de melhorar ainda mais a segurança da web e estabelecer o alicerce para os acontecimentos futuros relacionados à evolução da Internet.
