ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

Novidade sobre o projeto de atualização da KSK

2017 年 10 月 26 日
作者:

Esta é a primeira publicação de uma série de notícias sobre a situação do projeto de atualização da KSK. Queremos que a comunidade fique por dentro do nosso trabalho para a mudança.

Em 27 de setembro de 2017, a organização da ICANN anunciou que vamos adiar a alteração da KSK da zona raiz. Mais recentemente, em 17 de outubro, publicamos um documento chamado Adiamento da renovação da KSK da zona raiz [PDF, 173 KB] que dá mais detalhes sobre as informações que recebemos sobre a configuração de alguns resolvedores que influenciaram a decisão, nossa análise e os motivos para o adiamento.

Como explicamos nesse documento [PDF, 173 KB], as versões mais recentes dos resolvedores recursivos BIND e Unbound implementam um protocolo definido na RFC 8145 [TXT, 27 KB], Indicação de conhecimento de âncora de confiança nas Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC), que permite que um resolvedor informe a configuração de sua âncora de confiança. Os resolvedores compatíveis com esse recurso informam suas âncoras de confiança configuradas para a zona raiz aos servidores de nomes raiz. As análises dos dados informados sobre essas âncoras de confiança nas semanas anteriores à data programada para a renovação, 11 de outubro de 2017, geraram preocupações de que poderia haver um número maior que o esperado de resolvedores não configurados com a KSK-2017 (o apelido da próxima KSK da zona raiz) como âncora de confiança. Esses resolvedores não poderão resolver consultas ao DNS quando a renovação for feita.

O grupo de pesquisa do departamento do CTO (OCTO) analisou o tráfego aos servidores raiz B, D, F e L durante todo o mês de setembro de 2017 e encontrou 11.982 endereços IP únicos (8.908 IPv4 e 3.078 IPv6) enviando informações de configuração de âncora de confiança. Entre eles, 620 endereços informaram estar configurados apenas com a KSK-2010 (apelido da KSK atual da zona raiz). Depois de mais análises, conseguimos eliminar alguns falso-positivos: Endereços IP que, por vários motivos, não representavam resolvedores recursivos que fazem a validação de DNSSEC. Reduzimos a lista para 500 endereços de possíveis resolvedores recursivos mal configurados e queremos entrar em contato com os operadores deles. Temos dois motivos principais para entrar em contato com eles: entender o motivo pelo qual os resolvedores deles informam estar configurados apenas com a KSK-2010 e, se necessário, ajudá-los a corrigir a configuração para se preparar para a renovação.

Inicialmente, planejamos publicar essa lista de endereços para pedir ajuda da comunidade. Depois de refletir um pouco mais, percebemos que essa lista poderia ser tirada de contexto e interpretada como uma tentativa de envergonhar os operadores com sistemas mal configurados, o que não é a nossa intenção. Decidimos fazer uma tentativa inicial de contato com os administradores. Dependendo do resultado, pode ser necessário publicar a lista de endereços dos administradores que não conseguimos contatar.

De acordo com os dados de setembro mencionados acima, 4,1% dos endereços IP informam apenas a KSK-2010 (a porcentagem real de todos os resolvedores da Internet apenas com a KSK-2010 pode ser mais alta, pois apenas um pequeno número deles informa a configuração da âncora de confiança). Queremos melhorar muito esse número com investigações e correções. Como não sabemos quantos administradores vamos conseguir contatar, ainda não queremos definir uma porcentagem-alvo.

É importante observar que o valor representa uma porcentagem dos resolvedores, não dos usuários finais, e o impacto sobre os usuários finais é o que mais importa. Os critérios do [PDF, 741 KB] plano operacional publicado para adiar a renovação em caso de problemas menciona o efeito sobre os usuários finais:

A ICANN vai considerar voltar atrás com qualquer etapa do processo da renovação da chave caso o programa de medida indique que uma porcentagem considerável da população estimada de usuários finais da Internet recebeu impactos negativos pela mudança 72 horas depois da implementação de cada mudança na zona raiz.

Esses critérios são derivados, em parte, das recomendações da equipe de design da renovação da KSK da zona raiz, formada pela ICANN para ajudar a planejar a mudança. O relatório [PDF, 1.2 MB] dessa equipe inclui esta recomendação, também centrada nos usuários finais:

Recomendação 16: A reversão de qualquer etapa do processo da renovação da chave deve ser iniciada caso o programa de medida indique que no mínimo 0,5% da população estimada de usuários finais da Internet recebeu impactos negativos pela mudança 72 horas depois da implementação de cada mudança na zona raiz.

Durante esse processo, vamos considerar o impacto sobre os usuários finais como mais importante que a porcentagem absoluta de resolvedores que ainda informam a KSK-2010. Depois de entrar em contato com o maior número possível de operadores de resolvedores, vamos tentar definir o número de usuários finais afetados pelos resolvedores restantes que ainda não informam a KSK-2017. É difícil definir o número de usuários finais que usam um determinado resolvedor, mas temos várias ideias e fontes de dados para ajudar nessa tarefa.

Vamos falar sobre esses trabalhos e outras novidades em outras publicações, mantendo a comunidade atualizada sobre o nosso progresso.

Authors

Matt Larson

Matt Larson

VP, Research