en

Renovação da KSK: Resumo e próximas etapas

30 October 2018
By Paul HoffmanPaul Hoffman

In addition to the U.N. six languages, this content is also available in

Como você já deve saber, a principal chave criptográfica da zona raiz do DNS foi alterada em 11 de outubro de 2018 em uma série de etapas organizadas de forma elaborada. O resultado foi surpreendentemente bom: os usuários da Internet afetados pela mudança (também chamada de renovação) foram muito menos que o esperado. Ainda é necessário fazer mais algumas coisas para que o processo de renovação seja considerado concluído, mas a principal tarefa já foi cumprida sem maiores obstáculos.

Um pouco do histórico: a renovação estava prevista desde que a zona raiz foi assinada com as DNSSEC pela primeira vez, em 2010, e o planejamento começou em dezembro de 2014, quando a ICANN convocou voluntários da comunidade para participar da equipe de design responsável pelo desenvolvimento de um plano de renovação da chave de assinatura de chaves, ou KSK, da zona raiz (a KSK assina as outras chaves da zona, chamadas de ZSKs). Esse plano foi publicado em março de 2016 e analisado pela comunidade. A organização da ICANN transformou o design em planos operacionais específicos (detalhesaqui), e começou a colocá-los em prática no início de 2017, com uma grande difusão para garantir o preparo dos operadores de resolvedores.

A renovação foi marcada para 11 de outubro de 2017, mas foi adiada um mês antes devido à observação de sinais confusos no sistema do servidor raiz. Depois da avaliação desses sinais, a ICANN propôs para a comunidade [PDF, 162 KB] que a renovação fosse remarcada para 11 de outubro de 2018, e a Diretoria da ICANN aprovou a nova data em setembro de 2018.

Quando chegou o dia 11 de outubro, analisamos os planos operacionais passo a passo e, às 16h UTC, a KSK usada para assinar a zona raiz foi alterada para a nova chave, gerada em 2017. Pensamos que alguns operadores de resolvedores não estariam prontos, mesmo com todo o nosso trabalho de divulgação antes da data da renovação. No entanto, quando a organização da ICANN e a comunidade técnica do DNS analisaram os relatórios pós-renovação, ficou claro que os operadores de resolvedores estavam muito bem preparados. Até mesmo agora, mais de duas semanas depois da renovação, ficamos sabendo de poucos resolvedores afetados negativamente e todos conseguiram se recuperar. A ICANN ficou sabendo de apenas dois Provedores de Serviços de Internet (ISPs) que passaram por interrupções no momento da renovação e que podem ter sido afetados de forma negativa, mas não conseguimos falar com representantes deles para definir a causa principal desses problemas.

Ainda temos algumas tarefas a realizar: primeiro, a chave antiga precisa ser formalmente revogada. Em 11 de janeiro de 2019, a chave antiga, que sempre esteve publicada na zona raiz, será alterada para indicar que não é mais válida e que os resolvedores devem excluí-la de suas configurações. Logo depois, a ICANN publicará um relatório abrangente sobre todo o processo de renovação, incluindo as lições aprendidas com esse trabalho. Em seguida, muitas comunidades da ICANN começarão a conversar sobre o que gostariam de ver em futuras renovações (quantas vezes elas devem acontecer, o uso de chaves "reserva", as informações que gostariam de receber antes das renovações, etc.), com base no que aprendemos com a renovação e com o processo que levou a ela.

Se quiser acompanhar as próximas etapas da renovação da KSK da raiz e a discussão sobre futuras renovações, entre na lista de e-mails da renovação da KSK.

Authors

Paul Hoffman

Distinguished Technologist
Read biographyRead biography