Se va a proceder a la actualización de
la clave de validación de la zona raíz (Root Zone) de DNS usada en DNSSEC,
cataligada de Importancia: 4 - Alta
Recursos afectados:
Implementaciones de DNS que usen
DNSSEC para validación
Detalle e impacto de
la actualiazación
El 11 de octubre de 2017, la
Corporación de Internet para la Asignación de Nombres y Números (ICANN) llevará
a cabo una actualización de clave en el Root Zone Key Signing Key (KSK)
utilizado en el protocolo DNSSEC.
Recomendación
La actualización de clave (key
rollover) puede llevarse a cabo de manera automática o manual:
Actualización automática: el protocolo
DNS permite en la mayoría de los casos al cliente DNSSEC actualizar
automáticamente sus claves de confianza cuando la zona DNS de confianza señala
que está cambiando su clave. Los administradores deben consultar la
documentación de su implementación para obtener los detalles de configuración.
El cambio automático de clave puede probarse utilizando el ICANN KSK Rollover
Testbed.
Actualización manual: si el cliente
DNS utiliza DNSSEC, pero no admite el protocolo automatizado de renovación de
claves, se debe actualizar la clave manualmente, consultando la documentación
propia de cada implementación. La nueva clave (Root Zone key) se puede agregar
al conjunto de claves de confianza en cualquier momento, pero se debe agregar
antes de que se revoque la clave antigua.
Más información
- Traspaso de la
KSK de la Zona Raíz https://www.icann.org/resources/pages/ksk-rollover-2016-07-27-es
Fuente: INCIBE