Rollover de KSK 2017: ¿Qué es KSK y DNSSEC?

DNSSEC es una actualización del protocolo tradicional DNS que añade verificación de integridad y autenticidad a los mensajes clásicos del DNS. Lo hace mediante criptografía asimétrica sobre el contenido de las respuestas, distribuyendo las llaves de las firmas dentro del mismo DNS, aprovechando la delegación de los dominios padres hacia sus hijos.

Por lo tanto un resolvedor de nombres, para poder validar con DNSSEC los mensajes, debe conocer la llave raíz del DNS, desde donde se deriva el resto de llaves de los dominios. Esta llave se denomina “KSK de la raíz”. Esta llave viene pre-configurada en los softwares DNS que realizan validación, además de ser publicada por diversos medios para permitir su instalación y chequeo manual.

El protocolo DNSSEC considera el mecanismo para que el cambio, rotación o “rollover” de una llave ancla se realice automáticamente (mecanismo llamado “auto-trust-anchor” o “RFC5011”). La mayor parte de los servidores DNS actuales con mayor uso ya tiene soporte para esta actualización automática.

Para más información de DNSSEC, recomendamos visitar la sección DNSSEC del programa Deploy360 de la Internet Society (en inglés).

 

 

Volver a Índice Rollover KSK 2017