es

La ICANN revocará esta semana la antigua clave para la firma de la llave de la zona raíz

7 de enero de 2019

Paul HoffmanPaul Hoffman, Distinguished Technologist

Si siguió el traspaso de la nueva clave para la firma de la llave de la zona raíz (KSK) el 11 de octubre de 2018, puede que haya pensado que el proceso ahora está completo. Sin embargo, hay algunos pasos técnicos más importantes que deben llevarse a cabo antes de que finalice el traspaso de la KSK. Uno de esos pasos es revocar la clave anterior, que tendrá lugar el 11 de enero de 2019.

La zona raíz actualmente contiene dos KSK: la antigua (llamada "KSK-2010") y la nueva (llamada "KSK-2017"). Desde la transferencia, solo se usa la KSK-2017 para firmar el conjunto de claves de la zona raíz, que son todas las claves de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) en la raíz. Ahora que la KSK-2010 ya no se usa para generar firmas, es hora de marcar la clave como revocada y eliminarla de la zona raíz.

Antes de eliminar por completo la KSK-2010 de la zona, queremos marcar esa clave como revocada para todos los resolutores que siguen el estándar "Actualizaciones automatizadas de anclajes de confianza de DNSSEC" (RFC 5011). Al marcar la clave antigua como revocada, cualquier sistema que utilice RFC 5011 verá que KSK-2010 ya no es válida y no confiará en esa clave en el futuro. La marca de revocación estará visible hasta el 22 de marzo de 2019, momento en el cual KSK-2010 se eliminará por completo de la zona raíz para siempre.

La revocación hará que el tamaño del conjunto de claves de la zona raíz aumente ligeramente. La organización de la ICANN no prevé problemas con la revocación. Sin embargo, esta es la primera vez que se revoca una KSK en la raíz del Sistema de Nombres de Dominio (DNS), por lo que la organización de la ICANN y la comunidad técnica del DNS estarán vigilando cuidadosamente al menos 48 horas después de la publicación de la KSK-2010 revocada.

La organización de la ICANN recomienda encarecidamente a los proveedores que ya no incluyan la KSK-2010 en sus productos. Del mismo modo, cualquier persona que mantenga su lista de anclajes de confianza de la zona raíz del DNS a mano debería eliminar la KSK-2010 de sus configuraciones.

Informaremos sobre cualquier cuestión significativa que veamos en la lista de correo electrónico de ksk-rollover@icann.org, nuestro lugar habitual para comunicarnos sobre el traspaso de la KSK.

Distinguished Technologist

Paul Hoffman

Read biographyRead biography