Podcast #175: Traspaso de la KSK en la Zona Raíz con João Damas

En el audio de hoy tenemos a João Damas que nos va a hablar sobre el traspaso de llave en los servidores de DNS raíz.

João es una de las personas que más saben de DNS y es una de las personas principales en cuanto a la gestión de los servidores raíces de DNS, en el audio lo explica todo.

La zona raíz del DNS se firmó con DNSSEC en 2010. La zona raíz del DNS tiene dos tipos de claves; las claves para la firma de la zona (ZSK) que firman los datos principales en la zona raíz y las claves para la firma de la llave (KSK) que firman solo el conjunto de claves de la raíz (tanto ZSK como KSK) en la zona raíz. Cada tres meses, se publica una nueva ZSK. Cada nueva ZSK está firmada por una KSK de mayor duración.

El traspaso se produce cuando se modifica la KSK de la raíz y la nueva KSK comienza a firmar la clave de la raíz configurada para la zona. En el momento del traspaso, se retirará la KSK original y se utilizará la nueva KSK. La primera KSK se llama KSK-2010 (todavía en uso en la actualidad). La nueva KSK se llama KSK-2017. Después del traspaso, la KSK-2010 ya no firmará el conjunto de claves de la raíz: en su lugar, lo firmará la KSK-2017.

Los resolvers se configuran con los trust anchors (anclajes de confianza), que son copias de las claves que conciden con la KSK raíz.

Ĺos KSKs deberían de actualizarse según el procedimiento descrito en la RFC 5011 o bien de forma manual, pero claro, aquellos que no se hayan actualizado no disponen de la KSK-2017 y sólo disponen de la KSK-2010.

Aquellos que no estén actualizados en el momento del cambio de clave comenzarán a dejar de validar las respuestas que les de los servidores autoritativos y no se sabe muy bien qué pùede pasar.

Aquellos que estén actualizados no notarán el cambio.

El “caos” empezará en un rango temporal que va desde el cambio de clave hasta 48 horas después, que es el TTL de los registros KSK y ZSK.

En el audio también os hablamos del secuestro de los DNSs de Cloudflare por parte de orange residencial.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.