Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

DNSSEC nova zona raiz KSK aparece no DNS

Imprimir amigável, PDF e e-mail

Em 11 de julho de 2017, uma nova KSK (chave de assinatura de chave) aparecerá na zona de raiz do DNS. Esta chave rotulada como KSK-2017 (chave: 20326) eventualmente substituirá KSK-2010, que tem sido o par de chaves criptográficas mais usado no protocolo DNSSEC desde que a zona raiz foi assinada em julho de 2010. É a primeira vez na história, a ICANN está mudando o KSK da zona raiz como parte das práticas recomendadas normais de segurança.

O que é uma zona raiz KSK?

A zona raiz KSK é conhecida como a âncora de confiança da infraestrutura DNSSEC, o que significa que ela própria não é assinada por outra chave, como é o caso das chaves na hierarquia DNS. É por isso que a chave raiz deve ser configurada como âncora de confiança em todos os validadores DNSSEC, como servidores de nomes recursivos DNS e resolvedores DNS, que são operados por Provedores de Serviços de Internet (ISPs) e outros operadores de rede. A falha na atualização para o KSK da nova zona raiz resultará em erro de validação de DNSSEC e as consultas de DNS não serão resolvidas.

20326

A nova zona raiz KSK com keytag 20326

Como funciona?

DNSSEC é um protocolo de segurança, que foi projetado para adicionar serviços de autenticação e integridade de dados ao DNS. As informações da zona agora podem ser assinadas criptograficamente e os clientes DNS podem validar as assinaturas recuperando a chave pública da zona, que também é armazenada no arquivo da zona. No entanto, para poder confiar em chaves públicas, precisamos de uma “cadeia de confiança”. Ao contrário do modelo X.509, o DNSSEC não tem uma Autoridade de Certificação (CA) que pode garantir a autenticidade das chaves públicas. Em vez disso, o DNSSEC constrói uma “cadeia de confiança” começando com a “âncora de confiança”, uma chave que é declarada como autorizada e confiável.

Para validar uma assinatura, o validador precisa começar com a “âncora de confiança” e então validará toda a árvore DNSSEC até atingir o arquivo de zona do registro, que contém as informações da chave pública. Usando a chave pública, o validador pode agora verificar a assinatura do DNSSEC RRset. Obviamente, o processo de validação na realidade é mais complicado, pois envolve KSK e ZSK.

Como um exemplo simples, digamos que seu navegador deseja acessar www.example.org, seu validador DNSSEC fará o seguinte:

  1. Obtenha a "âncora de confiança", ou seja, a zona raiz KSK instalada localmente
  2. Busque o RRset .org DNSKEY na zona raiz e valide a assinatura usando o KSK da zona raiz
  3. Obtenha a chave pública da zona .org
  4. Obtenha o .example.org DNSKEY RRset e valide a assinatura usando a chave pública .org
  5. Obtenha a chave pública da zona .example.org
  6. Obtenha o conjunto de RRDNSKEY www.example.org e valide a assinatura usando a chave pública .example.org

Portanto, é necessário que qualquer dispositivo que faça a validação de DNSSEC tenha o KSK da zona raiz configurado como uma âncora de confiança.

O que acontecerá em 11 de outubro de 2017?

A partir de 11 de outubro de 2017, o KSK da nova zona raiz começará a assinar DNSKEY RRset, mas o KSK da zona raiz antiga ainda estará presente na zona raiz até 11 de janeiro de 2018. Isso para continuar permitindo a validação de assinaturas usando o KSK antigo.

Como obter a nova âncora de confiança?

Qualquer organização que opere um validador DNSSEC deve garantir que seu sistema tenha a âncora de confiança mais recente. Existem duas maneiras de atualizar a âncora de confiança em seu validador DNSSEC:

  1. Manualmente: você precisa obter uma cópia da âncora de confiança de uma fonte oficial e certificar-se de que seja autêntica antes de atualizar manualmente suas configurações. É recomendável que você use o arquivo de âncora de confiança da zona raiz fornecido por IANA. Você também deve validar o assinatura destacada fornecido pela IANA, assinado pelo CA da ICANN, para garantir que a âncora de confiança seja válida.
  2. Automaticamente: se seu resolvedor compatível com DNSSEC ou servidor de nomes recursivo estiver configurado para usar RFC5011, ele deve receber atualizações automáticas das âncoras de confiança DNSSEC e nenhuma ação adicional é necessária. No entanto, se os validadores DNSSEC estiverem offline durante o processo de substituição, eles deverão ser atualizados manualmente se forem colocados online após a substituição ser concluída.

Linha do Tempo

Algumas referências:

Material da ICANN:

Site ICANN KSK Rollover

Apresentação AFRINIC-25:

Rolando a zona raiz DNSSEC KSK

Teste:

Plataforma de teste de atualização de âncora de confiança automatizada

Projeto Canário Raiz

Consultas

Para qualquer dúvida sobre a substituição do DNSSEC na zona raiz KSK, entre em contato conosco em Este endereço de e-mail está protegido contra spambots. Você deve habilitar o JavaScript para visualizá-lo.

Última modificação em -
Data e hora nas Maurícias -