Skip to main content

Se posterga el traspaso de la KSK

En el día de hoy, la Corporación para la Asignación de Nombres y Números en Internet (ICANN) anunció la postergación del plan para cambiar la clave criptográfica que ayuda a proteger el Sistema de Nombres de Dominio (DNS).

El cambio de la clave implica la generación de un par nuevo de claves criptográficas y la distribución de un nuevo componente público a los resolutores que validan las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC). Sobre la base de la cantidad estimativa de usuarios de Internet que utilizan resolutores que validan DNSSEC, el traspaso de la KSK podría afectar aproximadamente a uno de cada cuatro usuarios globales de Internet, o 750 millones de personas.

El cambio o "traspaso" de la KSK estaba inicialmente programado para el 11 de octubre, pero se encuentra pospuesto debido a que, según datos obtenidos recientemente, una cantidad significativa de resolutores utilizados por los proveedores de servicios de Internet (ISP) y los operadores de redes aún no se encuentra lista para el traspaso. Estos datos se encuentran disponibles gracias a una funcionalidad de protocolo del DNS sumamente reciente, la cual permite que un resolutor informe a los servidores raíz cuales son las claves que ha configurado.

Es probable que los operadores no tengan instalada la nueva clave en sus sistemas por diversos motivos. En algunos casos, es probable que el software de sus resolutores no se encuentre configurado adecuadamente. Asimismo, por razones que aún son objeto de estudio, una cuestión recientemente detectada en un programa de resolutores ampliamente utilizado aparentemente no estaría permitiendo la actualización de la clave en forma automática, como era de esperar.

La ICANN está contactando a su comunidad, incluidos el Comité Asesor de Seguridad y Estabilidad, los Registros Regionales de Internet, los grupos de operadores de redes y demás actores para que colaboren en el análisis y la resolución de estas cuestiones.

Mientras tanto, la ICANN considera prudente seguir sus procesos y posponer el cambio de la clave, antes de correr el riesgo de que el cambio tenga un efecto adverso sobre una cantidad significativa de usuarios de Internet. La ICANN tiene el compromiso de continuar con sus actividades de capacitación, comunicación y relacionamiento con las organizaciones técnicas pertinentes para garantizar que todo se encuentre listo para efectuar el cambio de la clave.

"La seguridad, estabilidad y flexibilidad del Sistema de Nombres de Dominio son nuestra misión principal. Preferimos actuar de manera cautelosa y razonable, en lugar de proceder con el cambio el 11 de octubre como fuera inicialmente anunciado", indicó Göran Marby. "Sería irresponsable proceder con el cambio tras haber detectado estas nuevas cuestiones que podrían tener un efecto adverso sobre el éxito de esta iniciativa, como también sobre una cantidad significativa de usuarios finales".

Aún no se ha determinado una nueva fecha para el cambio de la clave. La oficina del Director de Tecnologías de la ICANN indica que, tentativamente, espera reprogramar el cambio de la clave para el primer trimestre de 2018, pero ello dependerá de un entendimiento más acabado de la nueva información y de la mitigación de la mayor cantidad posible de fallas potenciales.

La ICANN brindará información adicional a medida que se encuentre disponible y la nueva fecha del cambio de la clave se anunciará según corresponda.

"Esperamos que los operadores de redes dediquen este tiempo adicional a cerciorarse de que sus sistemas se encuentran listos para el cambio de clave", expresó el Sr. Marby. "Nuestra plataforma de prueba (http://go.icann.org/KSKtest) ayudará a los operadores a cerciorarse de que sus resolutores se encuentran configurados correctamente con la nueva clave. Asimismo, continuaremos interactuando y comunicándonos con ellos".

Acerca de las DNSSEC

Para poder identificar recursos en Internet con facilidad, las direcciones numéricas detrás de estos recursos se encuentran representadas por cadenas de caracteres que las personas puedan leer. La conversión de estas cadenas de caracteres a números se realiza mediante el Sistema de Nombres de Dominio (DNS) jerárquico y distribuido. Desde la creación del DNS en 1983, la computación y el funcionamiento de redes han adquirido una mayor sofisticación, lo cual implica que esta "guía telefónica" sea más vulnerable a los ataques. En respuesta a estas amenazas, la organización internacional de normalización, el IETF, desarrolló las DNSSEC para cerciorarse, mediante protección cifrada, que el contenido del DNS no pueda ser modificado a partir de su fuente sin que ello sea detectado. Una vez que se las implemente en su totalidad, las DNSSEC evitarán que quienes realizan los ataques puedan redireccionar a los usuarios del DNS.

##

La información actualizada sobre el traspaso de la KSK se encuentra disponible en este espacio: https://www.icann.org/resources/pages/ksk-rollover

En redes sociales: #Keyroll


More Announcements
Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."