@isitreallysafe

ICANN se prepara, por primera vez en su historia, para cambiar las claves criptográficas que ayudan a proteger el Sistema de Nombres de Dominio (DNS) de Internet. La organización lanzó una guía para informar al público acerca de las expectativas durante este proceso.

El cambio de claves, conocido como el traspaso de la clave para la firma de la llave de la Zona Raíz, está programado para el 11 de octubre de 2018. La nueva guía publicada por la ICANN está destinada a un público con toda clase de conocimiento técnico. Esta guía presenta información detallada sobre qué esperar durante el proceso de traspaso y ayudará a que todos se puedan preparar para este acontecimiento. La guía es parte de las iniciativas que la organización de la ICANN está impulsando para crear conciencia sobre el traspaso y brinda detalles sobre este proceso.

La guía se puede consultar en este enlace. Será de mayor utilidad para aquellos operadores de resolutores de validación que necesiten instrucciones claras sobre dónde focalizar su atención una vez que ocurra el traspaso. Los periodistas no especializados en temas técnicos, los autores de blogs y las demás personas que deseen escribir sobre el traspaso antes, durante o después de este acontecimiento también podrán aprovechar este material. Además, el documento puede ser un recurso de utilidad para los investigadores que estarán a cargo de monitorear el DNS a fin de detectar indicios de fallas en los resolutores una vez ocurrido el traspaso.

Si bien la organización de la ICANN anticipa un impacto mínimo del traspaso de la KSK para los usuarios, es de esperar que un pequeño porcentaje de usuarios de Internet tenga problemas en la resolución de nombres de dominio. En lenguaje llano, eso significa que tendrán dificultades para llegar a los sitios que desean visitar en Internet. Actualmente, una pequeña cantidad de resolutores recursivos que validan las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) no está bien configurada. Por lo tanto, cabe la posibilidad de que algunos usuarios de estos resolutores tengan dificultades. En la guía, se indica cuáles son los usuarios con mayor probabilidad de tener inconvenientes. Además, se explica qué clase de problemas pueden enfrentar en distintas instancias. En resumen:

Quienes no se verán afectados

Quiénes se verán afectados y de qué manera

Si ninguno de los resolutores que utilizan los usuarios tiene la nueva KSK en la configuración de su anclaje de confianza, los usuarios comenzarán a ver errores en la resolución de nombres (por lo general, errores SERVFAIL o errores del servidor) en algún momento dentro de las 48 horas posteriores al traspaso. ACLARACIÓN: es imposible predecir en qué momento los operadores de los resolutores afectados notarán fallas de validación.

Según el análisis de los datos pertinentes, más del 99% de los usuarios cuyos resolutores están validando no se verá afectado por el traspaso de la KSK. Los usuarios que utilizan al menos un resolutor listo para el traspaso no notarán ningún cambio al usar el DNS, o Internet en general, una vez ocurrido el traspaso. (Lo mismo se aplica a los usuarios cuyos resolutores no validan DNSSEC. Según las estimaciones actuales, dos tercios de los usuarios recurren a resolutores que aún no validan DNSSEC).

Por último, si bien el traspaso se encuentra programado para el 11 de octubre de 2018, esta fecha aún debe ser ratificada por la Junta Directiva de la ICANN.

###

La información actualizada sobre el traspaso de la KSK se encuentra disponible en este espacio: https://www.icann.org/resources/pages/ksk-rollover.

###

Nota: este blog fue tomado del sitio oficial de ICANN (https://www.icann.org/news/announcement-24-2018-08-27-es).

Carlos Álvarez
blogladooscuro @ gmail.com
@isitreallysafe