zh

Atualização sobre o Projeto de implementação da KSK de raiz

2017 年 12 月 18 日
作者: Matt LarsonMatt Larson

A Organização ICANN está anunciando hoje que não fará a implementação da KSK de zona raiz no primeiro trimestre de 2018.

Decidimos que ainda não temos informações suficientes para definir uma data específica para a implementação. No entanto, gostaríamos de esclarecer que a Organização ICANN está comprometida com a implementação da KSK de zona raiz e continuará debatendo sobre este tópico importante com a comunidade e coletando feedbacks. A ICANN enviará a todas as partes interessadas um aviso com pelo menos um trimestre de antecedência quando definirmos uma data para a implementação.

Além disso, estamos solicitando as opiniões da comunidade para ajudar a determinar, se possível, critérios objetivos apropriados para medir o possível impacto negativo da implementação da KSK de raiz nos usuários da Internet, bem como os valores aceitáveis para esses critérios antes de fazer a implementação. Isso está de acordo com o modelo ascendente de múltiplas partes interessadas que tem sido bastante positivo para o desenvolvimento de políticas da ICANN.

Em 27 de setembro de 2017, a Organização ICANN anunciou que estava adiando a implementação da KSK de zona raiz por pelo menos um trimestre, mas deixou aberta a possibilidade de que a implementação da KSK de raiz pudesse ocorrer no primeiro trimestre de 2018. Desde então, percebemos que precisaríamos de mais tempo para nossa análise e preparação.

Em uma publicação anterior, descrevemos nossa análise das informações sobre a configuração da âncora de confiança de resolvedores recursivos obtidas usando o protocolo definido no RFC 8145Signaling Trust Anchor Knowledge in DNS Security Extensions (DNSSEC) ("Sinalizando o conhecimento sobre âncoras de confiança em Extensões de Segurança do DNS [DNSSEC]"). Nossa análise revelou que cerca de 4% dos aproximadamente 12.000 resolvedores com validação do DNSSEC que enviaram relatórios no mês de setembro de 2017 estavam configurados apenas com a KSK-2010 (a versão resumida da atual KSK de raiz) e não conseguiriam resolver consultas do DNS após a implementação.

A decisão da Organização ICANN de adiar a implementação foi tomada porque não entendemos o motivo para esses resolvedores não estarem configurados adequadamente e precisávamos de mais tempo para investigar.

Desde então, tentamos entrar em contato com os operadores de 500 endereços que relataram usar uma configuração de resolvedor com apenas a KSK-2010, em vez da configuração correta com a KSK-2010 e a nova KSK, a KSK-2017. Esperávamos que essa investigação revelasse um conjunto claro de causas para a configuração incorreta, que nos permitisse elaborar comunicações e tomar ações para resolver esses problemas específicos. No entanto, a análise não foi tão conclusiva quanto imaginávamos.

Na nossa primeira tentativa, recebemos uma resposta dos operadores de aproximadamente 20% dos 500 endereços. Desses endereços cujos operadores obtivemos um contato, 60% deles são de grupos de endereços que hospedam dispositivos com endereços dinâmicos, como roteadores de usuários de banda larga domiciliar e máquinas virtuais efêmeras, o que torna extremamente (se não impossível) rastrear esses resolvedores. Cerca de 25% dos endereços corresponderam a um resolvedor que fazia encaminhamentos em nome de outro resolvedor que relatou usar apenas a KSK-2010. Como o endereço do dispositivo que relatou a configuração incorreta não era o verdadeiro resolvedor de origem, é extremamente difícil (se não impossível) identificar o verdadeiro endereço de origem do resolvedor que relatou usar apenas a KSK-2010.

Para prosseguir com a implementação da KSK, a Organização ICANN precisa ter certeza de que a implementação não terá um impacto negativo inaceitável nos usuários da Internet. O desafio que temos enfrentado desde que começamos a analisar os relatórios dos resolvedores sobre a configuração da âncora de confiança do RFC 8145 tem sido avaliar o impacto nos usuários.

Podemos fazer várias suposições: por exemplo, é improvável que um resolvedor recursivo sendo executado em um endereço dinâmico tenha suporte para um número grande de usuários, já que ele não oferece um endereço estável para os dispositivos enviarem consultas para resolução. No entanto, o mais importante é que determinar o possível impacto nos usuários com base nos dados que temos disponíveis é difícil e, por isso, estamos solicitando contribuições da comunidade.

Uma discussão e troca de ideias sobre os critérios aceitáveis para prosseguirmos com a implementação da KSK será realizada na lista de e-mails existente que já está sendo usada para conversarmos sobre a implementação da KSK. Pedimos que todos os interessados em contribuir inscrevam-se na lista de e-mails acessando esta página da web.

A Organização ICANN monitorará essa lista de e-mails e, a partir de 15 de janeiro de 2018, vamos começar a elaborar um plano para prosseguirmos com a implementação da KSK raiz com base nas opiniões recebidas e na discussão da lista. O plano será publicado até 31 de janeiro de 2018 e passará pelo processo formal de comentários públicos da ICANN para coletar mais contribuições. Realizaremos uma sessão no ICANN61, em San Juan, Porto Rico, para falarmos sobre o plano e ouvir as opiniões da comunidade pessoalmente. Nosso objetivo é ter um plano revisado disponível para ser analisado pela comunidade e para comentários públicos antes do ICANN62, na Cidade do Panamá, Panamá, e publicar um plano final logo após.

Durante o processo, vamos continuar mantendo a comunidade atualizada sobre o andamento do projeto de implementação da KSK de raiz.

Authors

Matt Larson

Matt Larson

VP, Research
Read biographyRead biography