Em 11 de julho de 2017, uma nova KSK (chave de assinatura de chave) aparecerá na zona de raiz do DNS. Esta chave rotulada como KSK-2017 (chave: 20326) eventualmente substituirá KSK-2010, que tem sido o par de chaves criptográficas mais usado no protocolo DNSSEC desde que a zona raiz foi assinada em julho de 2010. É a primeira vez na história, a ICANN está mudando o KSK da zona raiz como parte das práticas recomendadas normais de segurança.
O que é uma zona raiz KSK?
A zona raiz KSK é conhecida como a âncora de confiança da infraestrutura DNSSEC, o que significa que ela própria não é assinada por outra chave, como é o caso das chaves na hierarquia DNS. É por isso que a chave raiz deve ser configurada como âncora de confiança em todos os validadores DNSSEC, como servidores de nomes recursivos DNS e resolvedores DNS, que são operados por Provedores de Serviços de Internet (ISPs) e outros operadores de rede. A falha na atualização para o KSK da nova zona raiz resultará em erro de validação de DNSSEC e as consultas de DNS não serão resolvidas.
A nova zona raiz KSK com keytag 20326
Como funciona o Tech & Data Studio:
DNSSEC é um protocolo de segurança, que foi projetado para adicionar serviços de autenticação e integridade de dados ao DNS. As informações da zona agora podem ser assinadas criptograficamente e os clientes DNS podem validar as assinaturas recuperando a chave pública da zona, que também é armazenada no arquivo da zona. No entanto, para poder confiar em chaves públicas, precisamos de uma “cadeia de confiança”. Ao contrário do modelo X.509, o DNSSEC não tem uma Autoridade de Certificação (CA) que pode garantir a autenticidade das chaves públicas. Em vez disso, o DNSSEC constrói uma “cadeia de confiança” começando com a “âncora de confiança”, uma chave que é declarada como autorizada e confiável.
Para validar uma assinatura, o validador precisa começar com a “âncora de confiança” e então validará toda a árvore DNSSEC até atingir o arquivo de zona do registro, que contém as informações da chave pública. Usando a chave pública, o validador pode agora verificar a assinatura do DNSSEC RRset. Obviamente, o processo de validação na realidade é mais complicado, pois envolve KSK e ZSK.
Como um exemplo simples, digamos que seu navegador deseja acessar www.example.org, seu validador DNSSEC fará o seguinte:
- Obtenha a "âncora de confiança", ou seja, a zona raiz KSK instalada localmente
- Busque o RRset .org DNSKEY na zona raiz e valide a assinatura usando o KSK da zona raiz
- Obtenha a chave pública da zona .org
- Obtenha o .example.org DNSKEY RRset e valide a assinatura usando a chave pública .org
- Obtenha a chave pública da zona .example.org
- Obtenha o conjunto de RRDNSKEY www.example.org e valide a assinatura usando a chave pública .example.org
Portanto, é necessário que qualquer dispositivo que faça a validação de DNSSEC tenha o KSK da zona raiz configurado como uma âncora de confiança.
O que acontecerá em 11 de outubro de 2017?
A partir de 11 de outubro de 2017, o KSK da nova zona raiz começará a assinar DNSKEY RRset, mas o KSK da zona raiz antiga ainda estará presente na zona raiz até 11 de janeiro de 2018. Isso para continuar permitindo a validação de assinaturas usando o KSK antigo.
Como obter a nova âncora de confiança?
Qualquer organização que opere um validador DNSSEC deve garantir que seu sistema tenha a âncora de confiança mais recente. Existem duas maneiras de atualizar a âncora de confiança em seu validador DNSSEC:
- Manualmente: você precisa obter uma cópia da âncora de confiança de uma fonte oficial e certificar-se de que seja autêntica antes de atualizar manualmente suas configurações. É recomendável que você use o arquivo de âncora de confiança da zona raiz fornecido por IANA. Você também deve validar o assinatura destacada fornecido pela IANA, assinado pelo CA da ICANN, para garantir que a âncora de confiança seja válida.
- Automaticamente: se seu resolvedor compatível com DNSSEC ou servidor de nomes recursivo estiver configurado para usar RFC5011, ele deve receber atualizações automáticas das âncoras de confiança DNSSEC e nenhuma ação adicional é necessária. No entanto, se os validadores DNSSEC estiverem offline durante o processo de substituição, eles deverão ser atualizados manualmente se forem colocados online após a substituição ser concluída.
Timeline
11 de Julho de 2017 | Novo KSK publicado em DNS |
11 de outubro de 2017 | O novo KSK começa a assinar o conjunto de chaves da zona raiz (o evento de rollover real) |
11 de Janeiro de 2018 | Revogação do KSK antigo |
22 Março de 2018 | No último dia, o KSK antigo aparece na zona raiz |
Agosto de 2018 | A chave antiga foi excluída do equipamento em ambas as instalações de gerenciamento de chaves da ICANN |
Algumas referências:
Material da ICANN:
Apresentação AFRINIC-25:
Rolando a zona raiz DNSSEC KSK
Teste:
Plataforma de teste de atualização de âncora de confiança automatizada
Consultas
Para qualquer dúvida sobre a substituição do DNSSEC na zona raiz KSK, entre em contato conosco em Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo.