Blogs de la ICANN

Los blogs de la ICANN brindan información actualizada sobre actividades de desarrollo de políticas, eventos regionales y demás novedades.

La historia detrás de la decisión de la ICANN de retrasar el Traspaso de KSK

4 de octubre de 2017
Por

La mayoría ahora conoce la decisión anunciada por la ICANN de posponer el cambio de la clave criptográfica que ayuda a proteger el Sistema de Nombres de Dominio (DNS). Este cambio o "traspaso" estaba originalmente programado para el día 11 de octubre.

Quisiera ofrecer algunos detalles adicionales sobre aquello que consideramos para nuestra decisión de retrasar el traspaso. Se podría decir que es la historia detrás de la historia.

Históricamente, no ha habido ninguna manera de determinar cuáles anclajes de confianza para la validación por Extensiones de Seguridad del DNS (DNSSEC) han sido configurados, dificultando la evaluación del posible impacto del Traspaso de KSK (Clave para la firma de la llave de la zona raíz).  Pero recientemente eso ha cambiado y recibimos algunos datos nuevos que simplemente no podíamos ignorar.

El "conocimiento de la señalización del anclaje de confianza en las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC)" (definido en RFC 8145) es una extensión de protocolo reciente que permite a un validador informar qué anclajes de confianza ha configurado para una zona en los servidores de nombres de esa zona.

El protocolo se finalizó recientemente, en abril de 2017, aunque sólo está soportado por las versiones más recientes de algunos softwares de resolución ampliamente utilizados (BIND 9.10.5b1 y 9.11.0b3 y posteriores y Unbound 1.6.4 y posteriores). Inicialmente, no se esperaba que este protocolo fuese desplegado en forma suficientemente amplia como para proporcionar información útil para el primer Traspaso de KSK de la zona raíz.

Sin embargo, algunas investigaciones muy iniciales (realizadas por Verisign y más tarde por la ICANN) encontraron un número creciente de validadores que informan sobre la configuración del anclaje de confianza a los servidores raíz. Los datos de seis direcciones de servidor raíz indican que, para el mes de septiembre de 2017, aproximadamente 12.000 direcciones IP de origen único enviaron informes de configuración del anclaje de confianza. La cantidad de informes está creciendo y ahora se aproxima a 1.400 direcciones únicas por día.

Esos informes entrantes indican que aproximadamente el 5% de los validadores totales y alrededor del 6%-8% en cualquier día, informan que están utilizando la KSK-2010, que es la KSK de la zona raíz que actualmente firma el RRset (conjunto de registros de recursos) de DNSKEY (Clave del Sistema de Nombres de Dominio) de la raíz. Es importante destacar que estos validadores no se resolverían correctamente después del traspaso de KSK de la zona raíz planificado.

Sobre la base de esta nueva información, decidimos posponer el traspaso de KSK de la zona raíz por al menos un trimestre.

A lo largo del proyecto hemos enfatizado que la KSK de la zona raíz está siendo traspasada bajo condiciones operacionales normales y se ha procedido con cautela y sin prisa. La decisión de posponer el traspaso se tomó con ese espíritu de cautela, dado que no hay ninguna presión operativa para proceder debido a nuestra confianza continua en la seguridad de la clave actual, KSK-2010.

Existen varias razones por las que un validador podría informar sólo la KSK-2010: una configuración antigua con un anclaje de confianza configurado estáticamente (por ejemplo, la declaración "trusted-key" de BIND) o un fallo al actualizar automáticamente el anclaje de confianza utilizando el protocolo de actualización automatizada RFC 5011 debido a un defecto de software, un error del operador u otra razón.

Dado el porcentaje relativamente alto de validadores que sólo cuentan con la KSK-2010, la ICANN considera que es importante entender las razones antes de proceder con el Traspaso de KSK de la zona raíz. Pronto publicaremos la lista de validadores que informan sólo la KSK-2010 y solicitaremos ayuda a la comunidad operativa para identificar, diagnosticar y corregir estos sistemas.

Apreciamos la comprensión de la comunidad y esperamos su ayuda en la recolección de la información necesaria para avanzar con el Traspaso de KSK de la zona raíz.

Authors

Matt Larson

Matt Larson

VP, Research