Actualización de la clave para la firma de la llave de la zona raíz de DNSSEC

Fecha de publicación: 
22/08/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • Implementaciones de DNS que usen DNSSEC para validación
Descripción: 

Se va a proceder a la actualización de la clave de validación de la zona raíz (Root Zone) de DNS usada en DNSSEC.

Solución: 

La actualización de clave (key rollover) puede llevarse a cabo de manera automática o manual:

  • Actualización automática: el protocolo DNS permite en la mayoría de los casos al cliente DNSSEC actualizar automáticamente sus claves de confianza cuando la zona DNS de confianza señala que está cambiando su clave. Los administradores deben consultar la documentación de su implementación para obtener los detalles de configuración. El cambio automático de clave puede probarse utilizando el ICANN KSK Rollover Testbed.
  • Actualización manual: si el cliente DNS utiliza DNSSEC, pero no admite el protocolo automatizado de renovación de claves, se debe actualizar la clave manualmente, consultando la documentación propia de cada implementación. La nueva clave (Root Zone key) se puede agregar al conjunto de claves de confianza en cualquier momento, pero se debe agregar antes de que se revoque la clave antigua.
Detalle: 

El 11 de octubre de 2017, la Corporación de Internet para la Asignación de Nombres y Números (ICANN) llevará a cabo una actualización de clave en el Root Zone Key Signing Key (KSK) utilizado en el protocolo  DNSSEC.

Actualización: ICANN ha anunciado que el cambio de clave en el Root Zone Key Signing Key (KSK) programado para el 11 de octubre de 2017 ha sido pospuesto sin concretar ninguna nueva fecha.

Etiquetas: