Skip to main content

A ICANN publica Manual Geral sobre o que pode acontecer durante a substituição da KSK (Chave da Assinatura da Raiz) da raiz

Esta página também está disponível em:

LOS ANGELES – 22 de agosto de 2018 – Enquanto a organização ICANN se prepara, pela primeira vez na sua existência, para mudar as chaves criptografadas que protegem o Sistema de Nomes de Domínio (DNS) da Internet, a organização publica um manual de orientação para o público.

A mudança das chaves, denominada Substituição da Chave de Assinatura da Chave Raiz (Root Key Signing Key (KSK) Rollover) está programada para o dia 11 de outubro de 2018. O novo manual da ICANN foi concebido para pessoas com todos os níveis de expertise técnica. O manual as ajudará a preparar-se para a substituição (rollover) fornecendo detalhes sobre os possíveis impactos dela. Além disso, o manual faz parte das ações contínuas da Organização ICANN para conscientizar sobre a substituição e oferecerá detalhes sobre o processo de substituição.

O manual pode ser acessado aqui [PDF, 100 KB]. Ele vai ser especialmente útil para os operadores encarregados de validar os resolvedores que procurarem uma orientação clara sobre como lidar com a substituição uma vez implementada. Também será útil para jornalistas não técnicos, bloggers e outras pessoas que desejarem escrever sobre a substituição antes, durante e depois do evento. Além disso, o documento poderá ajudar os pesquisadores que estiverem controlando o DNS a detectar indicações de falha nos resolvedores posteriores à substituição.

Embora a organização ICANN espere que o impacto da substituição da chave da Assinatura da Raiz seja mínima, uma baixa porcentagem de usuários da Internet poderá ter problemas com a resolução de nomes de domínio, isto é, poderá ter problemas para contatar seus destinos online. Atualmente, existem poucas Extensões de Segurança no Sistema de Nomes de Domínio (DNSSEC, Domain NameSystem Security Extensions) validando resolvedores recorrentes mal configurados e é possível que alguns dos usuários que dependerem desses resolvedores tenham problemas. Este documento descreve quais usuários têm mais probabilidade de enfrentar problemas e quais tipos de problemas terão que enfrentar em diferentes ocasiões. Resumindo:

Quem não será afetado:

  • Os usuários que dependerem de um resolvedor com um novo KSK.
  • Os usuários que dependerem de um resolvedor que não tiver feito a validação de DNSSECs.

Quem será afetado e como:

  • Quando todos os resolvedores de um usuário não tiverem a nova KSK na configuração de sua âncora de confiança, o usuário começará a perceber falhas de resolução de Nomes (mensagens de erro como "server failure" ou SERVFAIL) em algum momento nas 48 horas posteriores à substituição. OBSERVAÇÃO: É impossível prever quando os operadores dos resolvedores afetados perceberão que a validação está falhando.

A análise de dados sugere que mais de 99% dos usuários cujos resolvedores estiverem validando não serão afetados pela substituição da KSK. Os usuários que utilizarem no mínimo um resolvedor já preparado para a substituição não perceberão nenhuma alteração no uso do DNS ou da Internet em geral depois da substituição. (Isto também vale para os usuários cujos resolvedores diretamente não tiverem feito nenhuma validação do DNSSEC. As estimativas atuais mostram que aproximadamente dois terços dos usuários estão por trás de resolvedores que ainda não fizeram a validação do DNSSEC).

Por último, embora a substituição estiver planejada para 11 de outubro de 2018, esta data ainda deve ser ratificada pela Diretoria da ICANN.

##

Para ficar informado sobre os desenvolvimentos da Implementação da KSK, visite o site a seguir: https://www.icann.org/resources/pages/ksk-rollover

Nas redes sociais, use: #Keyroll

###

Sobre a ICANN

A missão da ICANN é contribuir para garantir uma Internet mundial estável, segura e unificada. Para contatar outra pessoa através da Internet, você deve digitar um endereço (um nome ou um número) no seu computador ou em outro dispositivo. Esse endereço deve ser único para que os computadores saibam onde encontrar-se entre si. A ICANN ajuda a coordenar e apoiar esses identificadores únicos no mundo inteiro. A ICANN foi formada em 1998 como corporação beneficente pública sem fins lucrativos e com uma comunidade de participantes de todo o mundo.


More Announcements
Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."