Skip to main content

La ICANN revocará esta semana la antigua clave para la firma de la llave de la zona raíz

Si siguió el traspaso de la nueva clave para la firma de la llave de la zona raíz (KSK) el 11 de octubre de 2018, puede que haya pensado que el proceso ahora está completo. Sin embargo, hay algunos pasos técnicos más importantes que deben llevarse a cabo antes de que finalice el traspaso de la KSK. Uno de esos pasos es revocar la clave anterior, que tendrá lugar el 11 de enero de 2019.

La zona raíz actualmente contiene dos KSK: la antigua (llamada "KSK-2010") y la nueva (llamada "KSK-2017"). Desde la transferencia, solo se usa la KSK-2017 para firmar el conjunto de claves de la zona raíz, que son todas las claves de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) en la raíz. Ahora que la KSK-2010 ya no se usa para generar firmas, es hora de marcar la clave como revocada y eliminarla de la zona raíz.

Antes de eliminar por completo la KSK-2010 de la zona, queremos marcar esa clave como revocada para todos los resolutores que siguen el estándar "Actualizaciones automatizadas de anclajes de confianza de DNSSEC" (RFC 5011). Al marcar la clave antigua como revocada, cualquier sistema que utilice RFC 5011 verá que KSK-2010 ya no es válida y no confiará en esa clave en el futuro. La marca de revocación estará visible hasta el 22 de marzo de 2019, momento en el cual KSK-2010 se eliminará por completo de la zona raíz para siempre.

La revocación hará que el tamaño del conjunto de claves de la zona raíz aumente ligeramente. La organización de la ICANN no prevé problemas con la revocación. Sin embargo, esta es la primera vez que se revoca una KSK en la raíz del Sistema de Nombres de Dominio (DNS), por lo que la organización de la ICANN y la comunidad técnica del DNS estarán vigilando cuidadosamente al menos 48 horas después de la publicación de la KSK-2010 revocada.

La organización de la ICANN recomienda encarecidamente a los proveedores que ya no incluyan la KSK-2010 en sus productos. Del mismo modo, cualquier persona que mantenga su lista de anclajes de confianza de la zona raíz del DNS a mano debería eliminar la KSK-2010 de sus configuraciones.

Informaremos sobre cualquier cuestión significativa que veamos en la lista de correo electrónico de ksk-rollover@icann.org, nuestro lugar habitual para comunicarnos sobre el traspaso de la KSK.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."