[GTER] Roll-over da KSK da raiz adiado
Rubens Kuhl
rubensk at gmail.com
Wed Sep 27 22:58:57 -03 2017
https://www.icann.org/news/announcement-2017-09-27-pt
Hoje, a Corporação da Internet para Atribuição de Nomes e Números ("ICANN")
anunciou que o plano para alterar a chave criptográfica
<https://www.icann.org/resources/pages/ksk-rollover/#overview> que ajuda a
proteger o Sistema de Nomes de Domínio (DNS) foi adiada.
O fato de alterar a chave envolve gerar um novo par de chaves
criptográficas e distribuir um novo componente público para resolvedores
que validam as Extensões da Segurança do Sistema de Nomes de Domínio (DNSSEC).
Com base numa quantidade estimada de usuários da Internet que utilizam
resolvedores validados DNSSEC, estima-se que um em cada quatro usuários da
Internet mundiais ou 750 milhões de pessoas poderiam ser afetados pela
implementação da KSK.
A mudança ou "implementação" da Chave da KSK foi programada originalmente
em 11 de outubro, mas vai ser adiada porque alguns dados obtidos
recentemente mostram que uma quantidade importante de resolvedores usados
pelos Provedores de Serviços de Internet (ISPs - Internet Service
Providers) e Operadores de Redes não estão prontos ainda para a
Implementação da Chave. A disponibilidade desses novos dados deve-se a um
protocolo DNS muito recente que adiciona a capacidade para que um
resolvedor possa informar aos servidores raiz das chaves configuradas por
ele.
Há muitas razões de por que há operadores que não têm a nova chave
instalada em seus sistemas: alguns talvez não tenham seu software
resolvedor configurado corretamente e um problema descoberto recentemente
em um programa de resolvedor muito popular parece não estar atualizando
automaticamente a chave como deveria, por motivos que ainda estão sendo
pesquisados.
A ICANN está contatando sua comunidade, incluindo seu Comitê Consultivo de
Segurança e Estabilidade, os Registros de Internet Regionais, os Grupos de
Operadores de Redes e outros para ajudar a pesquisar e resolver os
problemas.
Por enquanto, a ICANN acredita que é prudente continuar com seu processo e
adiar a alteração da chave, em vez de correr o risco de que uma quantidade
importante de usuários da Internet sejam prejudicados pela alteração da
chave. A ICANN está comprometida com continuar sua educação, comunicação e
engajamento com as organizações técnicas pertinentes para garantir que
estejam preparadas para a alteração da chave.
"A segurança, estabilidade e resiliência do sistema de nomes de domínio é
nossa missão básica. Preferimos continuar em forma cautelosa e razoável do
que continuar com a implementação na data anunciada - 11 de outubro," disse
Göran Marby. "Seria irresponsável proceder a fazer a implementação de pois
de termos identificados estes novos problemas que poderiam prejudicar seu
sucesso e também prejudicar a capacidade de uma quantidade importante de
usuários finais".
A nova data para a Implementação da Chave ainda não foi marcada. O Diretor
de Tecnologia da ICANNdiz que espera em forma tentativa poder reprogramar a
Implementação da Chave para o primeiro trimestre de 2018, mas que isso vai
depender de entender completamente as novas informações e de mitigar tantas
falhas potenciais quanto possível.
A ICANN vai fornecer mais informações à medida que elas forem
disponibilizadas e a nova data marcada para a Implementação da Chave será
anunciada quando corresponder.
"Esperamos que os operadores de redes aproveitem este período adicional
para ter certeza de que seus sistemas estão prontos para a Implementação da
Chave", disse Marby. "Nossa plataforma de testes (
http://go.icann.org/KSKtest) ajudará os operadores a garantir que seus
resolvedores estejam configurados corretamente com a nova chave e nós
continuaremos a estar em contato e a comunicados com eles".
Sobre o DNSSEC
Para identificar facilmente recursos na Internet, os endereços numéricos
subjacentes para esses recursos são apresentados por cadeiras de caracteres
que podem ser lidas por humanos. A conversão dessas cadeias para números é
feita pelo Sistema de Nomes de Domínio (DNS) hierárquico e distribuído. Uma
maior sofisticação em computação e redes desde que foi feito seu projeto,
em 1983, fizeram com que esse "caderno telefônico" ficasse vulnerável a
ataques. Em resposta a essas ameaças, a organização internacional de
padrões, a IETF <http://www.ietf.org/>, desenvolveram o DNSSEC para
garantir criptograficamente que o conteúdo no DNS não pudesse ser
modificado na sua fonte sem que a modificação fosse detectada. Só quando
estiver inteiramente implementado, o DNSSEC vai deter a capacidade dos
atacantes de redirecionar os usuários que utilizam o DNS.
##
Para ficar informado sobre os desenvolvimentos da Implementação da KSK,
visite esse site: https://www.icann.org/resources/pages/ksk-rollover
Nas redes sociais, use: #Keyroll
More information about the gter
mailing list