28 de agosto de 2017

Actualización de la clave para la firma de la llave de la zona raíz de DNSSEC

Se va a proceder a la actualización de la clave de validación de la zona raíz (Root Zone) de DNS usada en DNSSEC, cataligada de  Importancia: 4 - Alta
Recursos afectados:
Implementaciones de DNS que usen DNSSEC para validación
Detalle e impacto de la actualiazación
El 11 de octubre de 2017, la Corporación de Internet para la Asignación de Nombres y Números (ICANN) llevará a cabo una actualización de clave en el Root Zone Key Signing Key (KSK) utilizado en el protocolo  DNSSEC.
Recomendación
La actualización de clave (key rollover) puede llevarse a cabo de manera automática o manual:
Actualización automática: el protocolo DNS permite en la mayoría de los casos al cliente DNSSEC actualizar automáticamente sus claves de confianza cuando la zona DNS de confianza señala que está cambiando su clave. Los administradores deben consultar la documentación de su implementación para obtener los detalles de configuración. El cambio automático de clave puede probarse utilizando el ICANN KSK Rollover Testbed.
Actualización manual: si el cliente DNS utiliza DNSSEC, pero no admite el protocolo automatizado de renovación de claves, se debe actualizar la clave manualmente, consultando la documentación propia de cada implementación. La nueva clave (Root Zone key) se puede agregar al conjunto de claves de confianza en cualquier momento, pero se debe agregar antes de que se revoque la clave antigua.
Más información
Fuente: INCIBE