互联网名称与数字地址分配机构(ICANN)今日宣布,将于 2026 年 10 月 11 日对域名系统(DNS)的信任锚进行更换,此次变更被称为“密钥轮换”(rollover),被视为维护 DNS 长期安全性、稳定性和韧性的重要步骤。
El nombre oficial del ancla de confianza es clave de firma de clave de zona raíz (KSK) de Extensiones de seguridad DNS (DNSSEC). Esta clave de cifrado es el núcleo del sistema de confianza DNSSEC y se utiliza para verificar que las respuestas DNS no hayan sido manipuladas durante la transmisión, lo que ayuda a garantizar que los usuarios de Internet reciban datos DNS auténticos y confiables al acceder a sitios web y servicios en línea. Esta rotación reemplazará la clave existente con una nueva KSK para continuar manteniendo una sólida protección de seguridad de cifrado para el sistema DNS global.
ICANN administra la zona raíz del DNS a través de su función IANA y coordina esta rotación de anclaje de confianza en asociación con la comunidad global de Internet. ICANN declaró que publicará la nueva KSK con toda la antelación necesaria para que los operadores pertinentes tengan tiempo suficiente para actualizar el sistema y comprobar si el mecanismo automático de actualización del ancla de confianza funciona correctamente, minimizando así el riesgo de interrupción de los servicios de red. Kim Davies, vicepresidente de Servicios de la IANA bajo ICANN y presidente de Identificadores Técnicos Públicos (PTI), calificó esta rotación de anclas de confianza como "un proceso cuidadosamente coordinado que ayuda a salvaguardar la integridad del DNS" y recordó a los operadores de software DNS que confirmen que el sistema esté configurado correctamente para confiar en las nuevas claves antes de la rotación. ICANN enfatizó que la mayoría de los usuarios comunes de Internet no experimentarán cambios significativos en el uso diario, pero es crucial que los operadores de software de resolución DNS completen los preparativos técnicos con anticipación.
Según el calendario anunciado por la ICANN, esta rotación se implementará en fases, comenzando en 2024 y continuando hasta finales de 2027. Durante este período, la KSK actual y la de próxima generación seguirán siendo válidas simultáneamente, dejando suficiente tiempo de transición para varios analizadores recursivos. Estos solucionadores recursivos suelen ser operados por proveedores de servicios de Internet, empresas y otras organizaciones y son responsables de consultar y validar la información DNS en nombre de los usuarios finales. Según el plan, la nueva KSK comenzará a firmar la zona raíz en octubre de 2026, y la antigua clave se retirará oficialmente en enero de 2027. ICANN señaló que este diseño de transición tiene como objetivo garantizar que operadores de diferentes tamaños y diferentes condiciones técnicas puedan completar la adaptación dentro de la ventana establecida para evitar fallas de resolución a gran escala.
ICANN recuerda específicamente a los operadores de resoluciones recursivas con capacidades de validación, especialmente aquellos que todavía usan anclajes de confianza configurados manualmente o ejecutan versiones de software más antiguas, que realicen una revisión integral de sus sistemas lo antes posible para confirmar que están listos para esta rotación. ICANN advirtió que si los sistemas relevantes no actualizan los anclajes de confianza a tiempo, puede ocurrir una falla en la resolución del DNS después de la fecha de rotación, lo que provocará que los usuarios no puedan acceder a algunos sitios web o servicios en línea. Para mitigar los riesgos anteriores, se recomienda a los operadores que prueben su mecanismo automático de actualización del anclaje de confianza o, si es necesario, importen manualmente la nueva KSK para garantizar que se completen todos los pasos críticos antes de habilitar la nueva clave.
Para obtener más información sobre esta transferencia de KSK, incluidas pautas operativas y recursos técnicos, la ICANN ha creado una página dedicada "Página de información sobre transferencia de KSK de la ICANN" en su sitio web oficial para proporcionar instrucciones detalladas y materiales de apoyo a la comunidad operativa global de DNS. ICANN llama a todos los tipos de operadores de infraestructura de red a prestar atención activa a los últimos anuncios, participar en la colaboración comunitaria y cooperar para completar este proyecto clave que se considera "la próxima gran actualización de seguridad de Internet".