Skip to main content

A implementação da KSK é adiada

Esta página também está disponível em:

Hoje, a Corporação da Internet para Atribuição de Nomes e Números ("ICANN") anunciou que o plano para alterar a chave criptográfica que ajuda a proteger o Sistema de Nomes de Domínio (DNS) foi adiada.

O fato de alterar a chave envolve gerar um novo par de chaves criptográficas e distribuir um novo componente público para resolvedores que validam as Extensões da Segurança do Sistema de Nomes de Domínio (DNSSEC).  Com base numa quantidade estimada de usuários da Internet que utilizam resolvedores validados DNSSEC, estima-se que um em cada quatro usuários da Internet mundiais ou 750 milhões de pessoas poderiam ser afetados pela implementação da KSK.

A mudança ou "implementação" da Chave da KSK foi programada originalmente em 11 de outubro, mas vai ser adiada porque alguns dados obtidos recentemente mostram que uma quantidade importante de resolvedores usados pelos Provedores de Serviços de Internet (ISPs - Internet Service Providers) e Operadores de Redes não estão prontos ainda para a Implementação da Chave.  A disponibilidade desses novos dados deve-se a um protocolo DNS muito recente que adiciona a capacidade para que um resolvedor possa informar aos servidores raiz das chaves configuradas por ele.

Há muitas razões de por que há operadores que não têm a nova chave instalada em seus sistemas: alguns talvez não tenham seu software resolvedor configurado corretamente e um problema descoberto recentemente em um programa de resolvedor muito popular parece não estar atualizando automaticamente a chave como deveria, por motivos que ainda estão sendo pesquisados.

A ICANN está contatando sua comunidade, incluindo seu Comitê Consultivo de Segurança e Estabilidade, os Registros de Internet Regionais, os Grupos de Operadores de Redes e outros para ajudar a pesquisar e resolver os problemas.

Por enquanto, a ICANN acredita que é prudente continuar com seu processo e adiar a alteração da chave, em vez de correr o risco de que uma quantidade importante de usuários da Internet sejam prejudicados pela alteração da chave. A ICANN está comprometida com continuar sua educação, comunicação e engajamento com as organizações técnicas pertinentes para garantir que estejam preparadas para a alteração da chave.

"A segurança, estabilidade e resiliência do sistema de nomes de domínio é nossa missão básica. Preferimos continuar em forma cautelosa e razoável do que continuar com a implementação na data anunciada - 11 de outubro," disse Göran Marby. "Seria irresponsável proceder a fazer a implementação de pois de termos identificados estes novos problemas que poderiam prejudicar seu sucesso e também prejudicar a capacidade de uma quantidade importante de usuários finais".

A nova data para a Implementação da Chave ainda não foi marcada. O Diretor de Tecnologia da ICANN diz que espera em forma tentativa poder reprogramar a Implementação da Chave para o primeiro trimestre de 2018, mas que isso vai depender de entender completamente as novas informações e de mitigar tantas falhas potenciais quanto possível.

A ICANN vai fornecer mais informações à medida que elas forem disponibilizadas e a nova data marcada para a Implementação da Chave será anunciada quando corresponder.

"Esperamos que os operadores de redes aproveitem este período adicional para ter certeza de que seus sistemas estão prontos para a Implementação da Chave", disse Marby. "Nossa plataforma de testes (http://go.icann.org/KSKtest) ajudará os operadores a garantir que seus resolvedores estejam configurados corretamente com a nova chave e nós continuaremos a estar em contato e a comunicados com eles".

Sobre o DNSSEC

Para identificar facilmente recursos na Internet, os endereços numéricos subjacentes para esses recursos são apresentados por cadeiras de caracteres que podem ser lidas por humanos. A conversão dessas cadeias para números é feita pelo Sistema de Nomes de Domínio (DNS) hierárquico e distribuído. Uma maior sofisticação em computação e redes desde que foi feito seu projeto, em 1983, fizeram com que esse "caderno telefônico" ficasse vulnerável a ataques. Em resposta a essas ameaças, a organização internacional de padrões, a IETF, desenvolveram o DNSSEC para garantir criptograficamente que o conteúdo no DNS não pudesse ser modificado na sua fonte sem que a modificação fosse detectada. Só quando estiver inteiramente implementado, o DNSSEC vai deter a capacidade dos atacantes de redirecionar os usuários que utilizam o DNS.

##

Para ficar informado sobre os desenvolvimentos da Implementação da KSK, visite esse site: https://www.icann.org/resources/pages/ksk-rollover

Nas redes sociais, use: #Keyroll


More Announcements
Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."