La Corporación de Internet para la Asignación de Nombres y Números (ICANN) publicó un documento donde se contemplan distintas situaciones que podrían desencadenarse luego del traspaso de la KSK (Key Signing Key o Clave de Firma de Clave) de la zona raíz a realizarse en octubre de este año.
Ya se acerca la fecha programada para la rotación de las claves criptográficas que se utilizan para firmar la raíz del DNS y, más allá de que se prevé que un muy bajo porcentaje de usuarios de Internet tenga problemas para resolver nombres de dominio, ICANN relevó que en varias comunidades surgió cierta confusión acerca de lo que sucederá o no luego del traspaso. Debido a ello se avanzó con la publicación de “Qué esperar durante el traspaso de la KSK de la Raíz”, informe destinado a aportar detalles sobre lo que se espera a partir del momento en que se produzca la rotación.
A grandes rasgos, el cambio de la KSK implica la generación de un nuevo par de claves y la distribución de su componente público a todos los resolutores que validan DNSSEC a nivel global. Que todos ellos estén actualizados es fundamental para asegurar que los nombres de dominio firmados con DNSSEC continúen siendo validados tras la rotación. Originalmente, este traspaso estaba planeado para octubre de 2017 pero fue postergado luego de analizar el impacto que tendría en la comunidad.
Habiendo pasado ya casi un año, la rotación de claves está pautada para el 11 de octubre de 2018 -aunque todavía debe ser ratificada por la Junta Directiva de ICANN-, y ya están circulando diversos materiales para optimizar el proceso. Dentro de ese marco, se publicó esta guía que está organizada en cuatro secciones. La primera es de corte introductorio y presenta las definiciones necesarias para la comprensión general. Las secciones 2 y 3 describen lo que sucederá después del traspaso con los resolutores que están preparados y con aquellos que no lo están, y la sección 4 describe los resultados que podrían ver los investigadores que monitorean el tráfico hacia el sistema de servidores raíz del DNS.
Esta será la primera vez que se rota la KSK desde su generación en el 2010 y esta publicación responde a la iniciativa de ICANN en concentrar esfuerzos en la campaña de difusión para llegar a la nueva fecha con una comunidad más robusta y mejor preparada.