Hoy, ICANN creó una nueva llave para la firma de la llave de la zona raíz (KSK). Este nuevo par de llaves criptográficas pública/privada fue creado durante la Ceremonia trimestral de la KSK de la Raíz en nuestra instalación segura de administración de la llave en Culpeper, Virginia. Con la generación de esta llave, la fase operativa inicial del primer traspaso de la KSK de la raíz - el proceso de cambiar la “llave maestra” del Sistema de Nombres de Dominio (DNS) - ha comenzado. Se prevé que el proceso completo de traspaso de la KSK tome aproximadamente dos años.
La KSK de la zona raíz sirve como punto de partida de confianza para la validación de las Extensiones de Seguridad del DNS (DNSSEC), similar a la forma en que la zona raíz sirve como punto de partida para la resolución del DNS. El software que realiza la validación de las DNSSEC confía en la parte pública de la KSK de la zona raíz, que ha sido configurada en resolutores y es conocida como el “anclaje de confianza” de la raíz. El software de validación de DNSSEC comienza con el anclaje de confianza para generar una “cadena de confianza” de las sucesivas llaves y firmas para comprobar la autenticidad de los datos firmados en las respuestas del DNS. Sin embargo, como sucede con toda contraseña, la llave de la raíz debería ser cambiada de manera periódica. La realización de un traspaso de la KSK minimiza el riesgo de que la llave se vea comprometida y ayuda a garantizar que tengamos la capacidad de cambiar la llave si alguna vez se ve comprometida o se pierde.
Ahora que ya se ha generado la llave, estará preparada para la disponibilidad operativa en los próximos meses. Una copia de la parte privada del par de llaves se almacenará en la segunda instalación de adminitración de llave de ICANN en El Segundo, California. El archivo del anclaje de confianza disponible en iana.org será actualizado con la nueva KSK en febrero de 2017. Los integradores y desarrolladores de software del DNS deberían entonces incluir la nueva llave en sus productos. La nueva KSK estará visible en forma generalizada cuando sea publicada en el DNS por primera vez el 11 de julio de 2017. Todas estas actividades conducirán al evento de traspaso real, cuando la nueva llave se utilice para firmar en la zona raíz por primera vez, lo que ocurrirá el 11 de octubre de 2017.
Los operadores de redes que han habilitado la validación de DNSSEC en sus resolutores de DNS deberán actualizar sus sistemas con la nueva KSK de la raíz una vez que ésta haya sido publicada.
No instalar el nuevo anclaje de confianza después del 11 de octubre de 2017 hará que fallen todas las búsquedas del DNS realizadas por resolutores no actualizados.
Si se producen dichas fallas, los clientes que utilizan esos resolutores se comportarían como si los sitios web, direcciones de correo electrónico y todos los otros dominios no existiesen. Afortunadamente, los resolutores de validación más modernos tienen un mecanismo automatizado para actualizar el anclaje de confianza. Sin embargo, una vez publicado el nuevo anclaje de confianza en febrero de 2017, los operadores de redes deberían asegurarse de que se haya implementado el nuevo anclaje de confianza, ya sea verificando que se haya actualizado automáticamente o configurándolo manualmente.
