ICANN, la Corporación de Internet para la Asignación de Nombres y Números, recientemente dejó sin valor a la antigua KSK (Key Signing Key o Clave de Firma de Clave) de la zona raíz. En el mes de marzo se eliminaría por completo.
El cambio de la KSK en octubre del 2018 implicó la creación de una nueva clave y la distribución de su par público a todos los servidores del Sistema de Nombres de Dominio (DNS), que a su vez, validan la Extensión de Seguridad del Sistema de Nombres de Dominio (DNSSEC) a nivel internacional. Para que el traspaso se dé de forma correcta y para mitigar cualquier contingencia se decidió que la zona raíz mantenga por un tiempo las dos KSK en simultáneo: la primitiva, denominada “KSK-2010”, y la nueva “KSK-2017”.
Desde la implementación de la nueva clave, la “KSK-2010” ya no fue utilizada para generación de firmas, conservándose solamente por cuestiones de compatibilidad. Ya comenzado el 2018, y luego de más de dos meses de realizado el traspaso, se tomó la decisión de revocarla, poniéndose como objetivo eliminarla por completo de la zona raíz en los próximos meses.
ICANN, junto a la comunidad técnica, planificó un minucioso seguimiento del proceso ya que, por un lado, era la primera vez que se anulaba una KSK en la raíz del DNS, y por otro lado, al marcar la clave antigua como revocada, cualquier sistema detectará que la “KSK-2010” ya no es válida y no deberá confiar en esa clave en el futuro. Asimismo, ICANN sugirió tanto a los proveedores de servicio como a aquellas personas independientes que ya no incluyan la “KSK-2010” en sus configuraciones.
Finalmente, la Corporación de Internet para la Asignación de Nombres y Números, informó que ante cualquier situación significativa se comunicará por su canal habitual, la lista de correo electrónico: ksk-rollover@icann.org.
Fuente Original: ICANN