ICANN revocará la antigua clave de seguridad del DNS

0
45

La Corporación de Internet para la Asignación de Nombres y Números (Internet Corporation for Assigned Names and Numbers) hará esta semana una importante limpieza de su exitoso y primer cambio de clave criptográfica realizado el pasado mes de octubre.

En octubre, ICANN lanzó una nueva y más segura clave de firma de clave –2017 (KSK-2017), pero el proceso no se completó ya que la antigua clave, KSK-2010, permaneció en la zona. El 10 de enero, ICANN revocará la clave antigua y la eliminará de la zona raíz. El KSK ayuda a proteger la libreta de direcciones de Internet -el Sistema de Nombres de Dominio (DNS) y la seguridad general de Internet.

“La organización de ICANN no espera problemas con la revocación”, escribió Paul Hoffman, tecnólogo principal de ICANN en un blog sobre la actividad de revocación.

“Sin embargo, esta es la primera vez que un KSK en el Sistema de Nombres de Dominio (DNS) ha sido revocado, por lo que el ICANN org y la comunidad técnica del DNS estarán vigilando cuidadosamente durante al menos 48 horas después de la publicación del KSK-2010 revocado”.

Hoffman escribió: “Antes de eliminar KSK-2010 de la zona, queremos marcar esa clave como revocada para todos los resolvers que siguen el estándar ‘Actualizaciones automatizadas de anclajes de confianza DNSSEC’ (RFC 5011). Al marcar la clave antigua como revocada, cualquier sistema que utilice RFC 5011 verá que KSK-2010 ya no es válido y no confiará en esa clave en el futuro. La marca de revocación estará visible hasta el 22 de marzo deL 2019, momento en el que KSK-2010 se eliminará completamente de la zona raíz para siempre”.

ICANN anima a los proveedores a que dejen de enviar KSK-2010 en sus productos. Del mismo modo, cualquiera que mantenga su lista de anclajes de confianza de raíz DNS a mano debe eliminar KSK-2010 de sus configuraciones, escribió Hoffman.

El cambio es fundamental para el proyecto de ICANN de actualizar el par superior de claves criptográficas utilizadas en el protocolo de Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC, por sus siglas en inglés), también conocido como la clave de firma de claves de la zona raíz o simplemente KSK, que protege los servidores fundamentales de Internet.

En el pasado, ICANN ha señalado que, debido a la falta de un despliegue significativo de extensiones de seguridad del sistema de nombres de dominio (validación DNSSEC), las respuestas del sistema de servidores raíz siguen corriendo el riesgo de sufrir ataques de integridad.

Del mismo modo, como resultado de los mensajes DNS que se supone que se envían sin cifrar, los usuarios del sistema de servidores raíz están sujetos a ataques de confidencialidad. Aunque estos ataques no son necesariamente nuevos, la dependencia cada vez mayor del DNS y, por lo tanto, del sistema de servidores raíz, sugiere que se necesita una nueva estrategia para reducir el efecto de estos ataques, afirmó ICANN.

La transferencia de KSK del pasado mes de octubre, que se llevó a cabo sin problemas, implicó la generación de un nuevo par de claves criptográficas públicas y privadas, y la distribución del nuevo componente público a las partes que operan validando los resolvers, según la ICANN. Estos resolvers ejecutan software que convierte direcciones típicas como networkworld.com en direcciones de red IP.

Las soluciones incluyen proveedores de servicios de Internet, administradores de redes empresariales y otros operadores de resolución de DNS, desarrolladores de software de resolución de DNS, integradores de sistemas y distribuidores de hardware y software que instalan o envían el “ancla de confianza” de la raíz, señaló la ICANN.

La ICANN dijo que informará sobre cualquier problema significativo con los cambios de esta semana aquí.

Michael Cooney, NetworkWorld.com