Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Traspaso de la KSK: Preguntas y Respuestas

Anuncio 
Traspaso de la KSK: Preguntas y Respuestas
¿Qué es la clave para la firma de la llave de la zona raíz?
•
La Clave para la firma de la llave de la zona raíz (KSK) es un par de claves públicaprivada criptográficas que juega un papel importante en las Extensiones de Seguridad
del Sistema de Nombres de Dominio (DNSSEC). La KSK de la zona raíz sirve como
punto de partida de confianza para la validación de las DNSSEC, similar a la forma en
que la zona raíz sirve como punto de partida para la resolución del DNS.
•
Justo cuando uno inicia en la zona raíz para resolver un nombre de dominio en
cualquier lugar del DNS, el software que realiza la validación de las DNSSEC confía en
la KSK de la zona raíz y crea una “cadena de confianza” de claves y firmas sucesivas
para validar la autenticidad de los datos firmados en el DNS.
¿Qué implica el traspaso de la clave para la firma de la llave de la zona raíz
(KSK)?
•
El proceso de traspaso de la KSK actualiza el anclaje de confianza de la zona raíz al
introducir una nueva KSK (KSK-2017) en la zona raíz.
¿Por qué se debe traspasar la KSK?
•
•
•
Porque no es bueno que una clave criptográfica dure eternamente. Como toda
contraseña, se debe cambiar a veces.
Porque es mejor realizar cambios proactivos durante las operaciones normales cuando
todo funciona correctamente en vez de actuar a posteriori en una emergencia.
Cuando se implementó el protocolo de DNSSEC por primera vez en el año 2010, la
NTIA requirió que la KSK sea traspasada y los Socios en la Gestión de la Zona Raíz
posteriormente estipularon los requisitos para cambiar la clave transcurridos los cinco
años de su funcionamiento.
¿Quiénes deben saber sobre el traspaso de la KSK?
•
Los proveedores de servicios de Internet, los operadores de redes empresariales y otros
que empleen la validación por DNSSEC deben actualizar sus sistemas con la parte
pública de la nueva clave para la firma de la llave de la zona raíz.
¿Cómo se enterarán?
•
La ICANN está llevando a cabo una extensa campaña de difusión para garantizar que
aquellos que actualmente usan la KSK tomen conocimiento del cambio.
•
Quienes estén interesados pueden ver un programa de eventos en los cuales se
debatirá el traspaso en el sitio web de la ICANN, donde también podrán seguir las
actualizaciones sobre la KSK y unirse a una lista de correo electrónico especial.
Asimismo, pueden seguir el hashtag #KeyRoll en las redes sociales para mantenerse
informados.
¿Cuál es el impacto en los usuarios de Internet?
•
Si se lleva a cabo sin inconvenientes, no habrá ningún cambio visible para el usuario
final.
¿Qué podría salir mal?
•
Es posible que algunos elementos de software que realizan la validación de las
DNSSEC no se actualicen con la KSK nueva, o que algunos elementos de software
quizá no puedan hacer frente a los cambios en el archivo de anclaje de confianza
publicado en el sitio web de la IANA. Si estas complicaciones se vuelven generalizadas,
los Socios en Gestión de la Zona Raíz pueden decidir que los cambios deban revertirse
para que el sistema pueda volver a una condición estable. Eso se conoce como
“escenario de reversión”. De ser necesario, la duración de una etapa dada también
puede extenderse a fin de ayudar a garantizar la estabilidad, si, por ejemplo,
información nueva indica que la próxima etapa puede generar complicaciones.
¿Cuál sería el efecto de una “reversión” o extensión?
•
El principal objetivo de una reversión o extensión sería mantener la estabilidad operativa
para que el efecto en los usuarios finales sea mínimo.
¿Cuánto duraría una reversión o extensión?
•
Podría durar indefinidamente o hasta que las causas que originaron una reversión se
estudien o rectifiquen. Las correcciones entonces podrían desplegarse en un nuevo
proceso de traspaso de la KSK.
¿De qué manera exacta se traspasará la KSK?
•
Tendrá lugar en ocho etapas, las cuales durarán aproximadamente dos años. Cada una
de las ocho etapas se asocia con una ceremonia de claves programada.
•
Una KSK firma el Conjunto de Registro de Recursos de DNSKEY (RRset) que
constituye todos los registros de un dominio determinado en la zona raíz. Estas firmas
se generan durante ceremonias de firma de claves y pasan a formar parte de
Respuestas de Claves Firmadas (SKR).
¿Cuál es el plazo de las ocho etapas?
•
•
•
•
•
•
Etapa A: Generación de clave (octubre de 2016)
o Se genera la KSK-2017 en la primera instalación en la cual se administra la
clave
Etapa B: Replicación de clave (febrero de 2017)
o Se copia la KSK-2017 a la segunda instalación en la cual se administra la clave.
La KSK ahora está calificada para ingresar al estado de producción.
Etapa C: Se firman los primeros datos con la KSK-2017 para usarse en la Etapa D
(mayo de 2017)
o Se firma el primer conjunto de solicitudes de firma de claves.
Etapa D: Publicación (agosto de 2017)
o La KSK-2017 se publica en la zona raíz.
o Tanto la KSK-2010 como la KSK-2017 se utilizan para firmar la zona raíz.
Etapa E: Traspaso (noviembre de 2017)
o Solo la KSK-2017 se utiliza para firmar la zona raíz.
Etapa F: Revocación (febrero de 2018)
•
•
o La KSK-2010 se elimina de la zona raíz.
Etapa G: Eliminación 1 (mayo de 2018)
o Se elimina la KSK-2010 de la primera instalación en la cual se administra la
clave.
Etapa H: Eliminación 2 (agosto de 2018)
o Se elimina la KSK-2010 de la segunda instalación en la cual se administra la
clave.
¿Qué acción se puede realizar ahora?
•
Los desarrolladores de software que crean o mantienen software de validación de
DNSSEC deberían asegurarse de que sea compatible con la RFC 5011.
•
Para el software no compatible con la RFC 5011 o el software configurado para no
utilizar la RFC 5011, un archivo de anclaje de confianza de área de publicación estará
disponible aquí. El archivo debería recuperarse cuando el resolutor se inicie y cuando
las KSK en el RRSET DNSKEY de la zona raíz del DNS sean cambiadas.
Los desarrolladores y operadores de software de resolutores de validación pueden tener
acceso a pruebas operativas, desarrolladas por la ICANN, para evaluar si sus sistemas
implementan correctamente la RFC 5011 y se actualizarán automáticamente durante el
traspaso de la KSK.
•
¿De qué manera la Transición de la custodia de la IANA afectará el traspaso
de la KSK?
•
En virtud de la propuesta para la Transición de la custodia de la IANA, el rol de la
Administración Nacional de Telecomunicaciones e Información (NTIA) del
Departamento de Comercio de los Estados Unidos, que actúa como la entidad
administradora de la Zona Raíz, finalizará después de una transición correcta.
•
Los planes de traspaso fueron desarrollados por los Socios en la Gestión de la Zona
Raíz; la ICANN en su rol de entidad operadora de las funciones de la IANA, Verisign
como la entidad encargada del mantenimiento de la Zona Raíz y la NTIA como la
entidad administradora de la Zona Raíz. Ahora que los planes se han desarrollado de
manera colaborativa, los futuros traspasos de la KSK serán realizados por la ICANN de
conformidad con dichos planes.
Documentos relacionados
Convenios Vigentes
Convenios Vigentes
Formulario autorización traspaso bancario.
Formulario autorización traspaso bancario.
Fabricato S.A. se permite informar acerca de las condiciones del
Fabricato S.A. se permite informar acerca de las condiciones del
solicitud de traspaso de derechos consolidados
solicitud de traspaso de derechos consolidados
Descargar
Anuncio
Anuncio