La Corporación para la Asignación de Nombres y Números en Internet (ICANN) publicó el plan donde se propone realizar el traspaso de la KSK (Key Signing Key o Clave de Firma de Clave) de la zona raíz en octubre de 2018.
Acompañado del llamado a una consulta pública, ICANN publicó un plan preliminar que establece al 11 de octubre como fecha estimada para el cambio del par de claves criptográficas utilizadas para la extensión de seguridad DNSSEC. Así, todos los miembros de la comunidad podrán presentar formalmente sus aportes al proyecto, que originalmente iba a implementarse en octubre de 2017.
La convocatoria, abierta hasta el próximo 2 de abril, busca enriquecer un proceso desde ya complejo: cambiar la KSK implica generar un nuevo par de claves criptográficas para firmar la raíz del DNS, y a partir de ello aparece la necesidad de distribuir la clave pública a todos los resolutores que validan DNSSEC a nivel global. Que todos estos actores la mantengan actualizada es fundamental para asegurar que los nombres de dominio firmados con DNSSEC continúen siendo validados tras la rotación, de lo contrario, no se podrá a acceder a ellos.
A partir del análisis que llevó a postergar la fecha original, y de los sucesivos debates que se generaron en la comunidad producto de ello, se acordó que no hay manera de medir con exactitud la cantidad de usuarios que se verían afectados por el traspaso de la KSK. Bajo la presunción de poder contar con mejores mediciones, se decidió prolongar el proceso de consultas y continuar con el plan una vez evaluadas las respuestas.
Dada la envergadura de toda la situación, junto a la nueva fecha, el plan actual de ICANN propone concentrar esfuerzos en la campaña de difusión para poder notificar a la mayor cantidad posible de operadores. También se planea realizar una sesión durante la reunión ICANN61 en Puerto Rico para continuar analizando el proyecto y obtener más comentarios.
La práctica de rotar claves es esencial para mantener un sistema seguro, y esta será la primera vez que se rota la KSK desde su generación en el 2010. Esto no quiere decir que sea vulnerable, pero con tiempo y recursos suficientes, las claves criptográficas eventualmente podrían verse amenazadas.
El plan con la nueva fecha para la rotación de la KSK se puede encontrar en el sitio oficial de ICANN, y cualquier tipo de aporte puede enviarse vía correo electrónico a comments-ksk-rollover-restart-01feb18@icann.org
Fuente: https://www.icann.org/news/blog/anunciamos-el-plan-preliminar-para-continuar-con