Client Area Sign In

Openprovider Support

Contact our support department using the form on this page. For more information about the availability of our support team, please visit our Knowledge Base. Here, you can also find answers to many questions.




Renovación de la clave de la zona raíz

El 11 de octubre, ICANN implementará el cambio más impactante desde la adopción de DNSSEC en la zona raíz en el 2010: reemplazará, o “traspasará”, la clave de firma de claves (KSK) por primera vez desde la firma de la zona raíz hace ocho años. Mientras que el protocolo DNSSEC prevé roll-overs regulares, la realidad es que no todos los resolvedores de DNS y los ISPs están listos para ello aun cuando se trata de roll-overs de zonas raíz. Aunque la mayoría de los resolvedores se actualizan correctamente, algunos usuarios pueden experimentar sitios web no funcionales a partir del 11 de octubre.
¿Por qué es tan importante el traspaso de la clave?
La tecnología DNSSEC se adopta rápidamente. Por ejemplo, más del 50% de todos los dominios .nl están protegidos con DNSSEC. Esto no es de extrañar, si sabes que la DNSSEC previene el abuso en tu marca o sitio web haciendo imposible el secuestro de DNS (redirigir a los visitantes a un servidor malicioso).
Parte de la seguridad de la DNSSEC, y de la seguridad en general, es que las claves criptográficas no deben tener una vida útil demasiado larga: cuanto más tiempo se utiliza una clave, más tiempo tienen las personas malintencionadas para comprometerla. Y una clave comprometida compromete la seguridad: ya no se puede confiar en los datos protegidos.
La renovación de KSK el 11 de octubre aborda exactamente este riesgo: al insertar una nueva clave en la zona raíz, cualquier persona que intente piratear la clave debe empezar de nuevo.
¿Qué cambiará el 11 de octubre?
En este momento, la zona raíz está firmada con el KSK original que se publicó en 2010. El año pasado, en julio de 2017, ICANN ya publicó un segundo KSK en la zona raíz, pero esta clave todavía no se utiliza para firmar ninguna zona. Esto es exactamente lo que cambiará en dos semanas: a partir del 11 de octubre se utilizará la nueva clave para firmar las zonas. La vieja clave permanecerá en la zona durante 3 meses más antes de ser revocada.
El siguiente cronograma de ICANN visualiza este proyecto:

¿Por qué hay un riesgo?
Cada resolvedor de DNS en el mundo, que es capaz de validar nombres de dominio asegurados por DNSSEC, tendrá que validar también la zona raíz: la validación es un proceso encadenado. Acabamos de publicar esta nueva página en nuestra base de conocimiento para informarte más sobre el proceso de validación de DNSSEC.
Hasta aquí, todo bien. Cada resolvedor de DNS conoce la clave original, el “KSK-2010” en la tabla de arriba. Sin embargo, las investigaciones muestran que no todos los que resuelven conocen la nueva clave, la “KSK-2017”, aun cuando ha estado disponible durante más de 14 meses. Tan pronto como ICANN empiece a firmar las zonas con la nueva clave, estos resolvedores no podrán validar los resultados. Los resultados no validados impedirán que se cargue el sitio web solicitado.
El plan original era renovar la clave en octubre del año pasado. Sin embargo, debido a los resultados anteriores y a la falta de análisis de impacto, se ha pospuesto un año.
Aunque todavía se desconocen las cifras exactas, se estima que “varios millones de usuarios de Internet en todo el mundo” podrían verse afectados.
Si ejecutas tu propio resolvedor de DNS, la guía rápida de KSK de ICANN explica cómo puedes comprobar tu configuración y cómo actualizarla, si la nueva clave no se ha importado automáticamente.
Si no ejecutas tu propio resolvedor pero sigues teniendo problemas, es posible que quieras ponerte en contacto con tu ISP para comprobar si están actualizados. Si debido al cambio de clave tu sitio web no está disponible para algunos de tus clientes, es posible que quieras desactivar temporalmente DNSSEC como solución rápida.
Los interesados en todos los detalles sobre la renovación de KSK pueden visitar la sección especial en el sitio web de ICANN.

Lo siento, debes estar conectado para publicar un comentario.
Menú