LACNIC Blog > DNS > Manter a fiabilidade do DNS – Compreender como é a substituição das chaves KSK
Manter a fiabilidade do DNS – Compreender como é a substituição das chaves KSK
11 de maio de 2026
Por Kim Davies, VP, IANA Services & President, PTI
Este artigo foi publicado originalmente no blog da ICANN
O Sistema de Nomes de Domínio (DNS) está baseado numa expectativa simples: quando a gente procura um nome de domínio, obtém a resposta certa Parte de garantir essa realidade passa por um conjunto de medidas de segurança que permite ao software validar os dados do DNS utilizando proteções de segurança conhecidas como Extensões de Segurança do DNS (DNSSEC, DNS Security Extensions). Estas funcionam garantindo que todos os componentes de um nome de domínio sejam criptograficamente verificáveis através de uma cadeia de assinaturas, cada uma das quais pode ser validada através de uma cadeia que começa com a chave de assinatura da zona raiz (KSK). Esta chave criptográfica é operada por nós através das funções da IANA que gerimos.
Tal como acontece com todos os sistemas de segurança, de vez em quando as chaves precisam de ser substituídas. Quando a chave no topo da hierarquia do DNS – conhecida como «âncora de confiança» – precisa de ser alterada, passa-se por um processo conhecido como substituição da KSK da zona raiz. Esta alteração precisa de ser cuidadosamente coordenada para preservar a segurança, a estabilidade e o funcionamento unificado e contínuo do DNS.
Ao contrário de muitas atualizações da infraestrutura da Internet, uma substituição da KSK não adiciona novas funcionalidades. Em vez disso, mantém uma parte crítica do sistema atualizada com as melhores práticas criptográficas. As chaves criptográficas que permanecem em uso por demasiado tempo podem tornar-se um risco. A atualização da KSK ajuda a garantir que a zona raiz continue a basear-se em material criptográfico robusto; uma forma de antecipar esse risco é alterar periodicamente as chaves, em vez de reagir à notícia de que uma chave se tornou demasiado fraca para ser utilizada.
O que torna a substituição notável não é o ato de gerar uma nova chave, mas a forma como ela é introduzida. O DNS é global e altamente distribuído, com resolvedores de validação operados por um amplo leque de organizações.
Como a KSK atua como âncora de confiança para a validação do DNSSEC, quando o software do resolvedor DNS precisa verificar se os dados DNS são autênticos, ele precisa fazer uma verificação comparando esses dados com essa chave específica. Devido a esse papel central, qualquer alteração deve ser introduzida com cuidado. Uma mudança repentina arriscaria interromper a validação para sistemas que não estão preparados para reconhecer a nova âncora de confiança, porque os resolvedores que não foram atualizados falham na validação. Para evitar isso, a substituição é um esforço coordenado ao longo de um longo período de tempo para garantir a adoção generalizada.
Ao contrário de muitas atualizações da infraestrutura da Internet, uma substituição da KSK não adiciona novas funcionalidades. Em vez disso, mantém uma parte crítica do sistema atualizada com as melhores práticas criptográficas. As chaves criptográficas que permanecem em uso por demasiado tempo podem tornar-se um risco. A atualização da KSK ajuda a garantir que a zona raiz continue a basear-se em material criptográfico robusto; uma forma de antecipar esse risco é alterar periodicamente as chaves, em vez de reagir à notícia de que uma chave se tornou demasiado fraca para ser utilizada.
O que torna a substituição notável não é o ato de gerar uma nova chave, mas a forma como ela é introduzida. O DNS é global e altamente distribuído, com resolvedores de validação operados por um amplo leque de organizações.
Como a KSK atua como âncora de confiança para a validação do DNSSEC, quando o software do resolvedor DNS precisa verificar se os dados DNS são autênticos, ele precisa fazer uma verificação comparando esses dados com essa chave específica. Devido a esse papel central, qualquer alteração deve ser introduzida com cuidado. Uma mudança repentina arriscaria interromper a validação para sistemas que não estão preparados para reconhecer a nova âncora de confiança, porque os resolvedores que não foram atualizados falham na validação. Para evitar isso, a substituição é um esforço coordenado ao longo de um longo período de tempo para garantir a adoção generalizada.
Uma nova KSK é gerada e publicada com bastante antecedência antes de ser colocada em uso. Isto dá tempo aos operadores para atualizarem os seus sistemas. Durante a transição, tanto as chaves existentes como as novas são consideradas confiáveis, permitindo uma mudança gradual em vez de uma transição abrupta. Só quando houver confiança de que a nova chave foi aceita por todos é que o sistema conclui a transição e retira a anterior.
Essa organização dos tempos é deliberada. Mesmo um pequeno número de resolvedores desatualizados pode ter efeitos desproporcionados, especialmente se estiverem em redes grandes. Nesses casos, os usuários podem enfrentar falhas de resolução , mesmo com o próprio DNS funcionando normalmente. Evitar esse resultado depende menos da mecânica da transição e mais da coordenação em todo o ecossistema.
É aqui que a ICANN desempenha o seu papel. Através das funções da IANA, a ICANN administra a raiz do DNS e a âncora de confiança associada. A substituição da KSK faz parte desse trabalho contínuo. Combina um planejamento operacional cuidadoso com ações de divulgação para garantir que aqueles que operam resolvedores de validação estejam cientes da mudança e tenham tempo para se preparar.
As cerimônias da KSK são uma parte deste panorama mais amplo. Proporcionam um ambiente controlado para gerar e salvaguardar o material criptográfico utilizado na transição. Embora essas cerimônias chamem frequentemente a atenção, o trabalho mais importante ocorre ao longo do período de transição mais prolongado, à medida que a nova chave é introduzida em todo o DNS global.
Para os usuários da Internet, se tudo correr conforme o planejado, a transição ocorrerá sem que se note. Não deverá haver nenhuma alteração visível, nenhuma interrupção e nenhuma razão para a maioria das pessoas pensar nisso.
Para os operadores de infraestruturas diretamente relacionadas com o funcionamento do DNSSEC, uma transição é um momento para estarem vigilantes e monitorizarem os sistemas, e para se certificarem de que os mecanismos de atualização, em grande parte automatizados, funcionem conforme previsto. Um pequeno investimento de tempo agora irá proteger contra potenciais impactos na sua infraestrutura, caso se verifique que o seu software ou configuração está desatualizado quando a transição entrar em vigor.
A renovação da KSK pode não ser um evento dramático, mas é extremamente importante. Reflete o trabalho contínuo necessário para manter o DNS seguro através de um planejamento cuidadoso, disciplina técnica e coordenação em toda a comunidade da Internet.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.
