• Alerta

Rollover da chave KSK no DNSSEC da zona raiz

No dia 11 de outubro, o ICANN irá mudar a chave KSK utilizada no DNSSEC da zona raiz da Internet. Essa troca de chave é chamada de Root Zone KSK Rollover e é um processo necessário para a manutenção da segurança das chaves criptográficas utilizadas pelo DNSSEC.

A troca da chave KSK apenas afeta servidores DNS que funcionam como recursivo e fazem validação DNSSEC. Neste caso existem duas opções:

1. Configurar a atualização automática da chave no servidor recursivo: a maioria dos servidores DNS implementam o protocolo especificado na RFC 5011, que permite a atualização automática da chave. O administrador deve verificar se esta funcionalidade está ativa e se a nova chave já foi baixada pelo servidor recursivo. Este é o método mais recomendado.

2. Fazer a atualização manual da chave: a nova chave deve ser adicionada manualmente, de acordo com a documentação do servidor DNS utilizado. A nova chave pode coexistir com a chave atual e deve ser adicionada antes do dia 11 de outubro de 2017.

Vale salientar que caso a nova chave KSK não seja adicionada no servidor DNS recursivo antes do dia 11 de outubro de 2017, a validação das consultas DNS com DNSSEC habilitado irá falhar e esse erro impedirá os usuários de acessarem a Internet (devido a falha na resolução de nomes).

Datas Importantes

• 27 de outubro de 2016: Início do processo de rollover da chave KSK.
• 11 de julho de 2017: Publicação da nova chave KSK no DNS.
• 19 de setembro de 2017: Ampliação do tamanho da resposta DNSKEY dos servidores raiz.
• 11 de outubro de 2017: Nova chave KSK começa a assinar a zona raiz do DNS.
• 11 de janeiro de 2018: Revogação da chave KSK antiga.
• 22 de março de 2018: Último dia em que a chave KSK antiga aparece no zona raiz do DNS.
• Agosto de 2018: Chave antiga é removida dos equipamentos do ICANN.

Aqueles que administram servidores DNS que são apenas autoritativos ou servidores recursivos que não fazem validação DNSSEC, não serão afetados.

O CERT.Bahia encontra-se a disposição para auxiliar os clientes e responder possíveis dúvidas.

Referências

• https://rollready.dnsops.gov/
• https://www.icann.org/resources/pages/ksk-rollover
• https://tools.ietf.org/html/rfc5011