No final de abril deste ano, foi realizada a 57ª cerimônia da assinatura da raiz do DNS na base da Costa Leste dos Estados Unidos. Pía Gruvö, Ondřej Filip, Nomsa Mwayenga e eu participamos como operadores criptográficos.
(Acesso livre, não requer assinatura)
Desta vez, foi um processo normal de assinatura da ZSK, que será publicada no terceiro e quarto trimestre deste ano, e continuar com a pré-publicação da nova KSK, lembrando que ao estar no meio do processo de rotação da KSK é preciso poder gerar diferentes cenários, considerando casos de emergência como poderia ser a retirada da nova KSK. No entanto, tudo parece bem por enquanto. Um estudo feito por Duane Wessels da Verisign mostra claramente que os resolvedores adotaram a nova chave em 90% após um mês de espera desde que apareceu no keyset da raiz em fevereiro de 2025
Desta vez, foi um processo normal de assinatura da ZSK, que será publicada no terceiro e quarto trimestre deste ano, e continuar com a pré-publicação da nova KSK, lembrando que ao estar no meio do processo de rotação da KSK é preciso poder gerar diferentes cenários, considerando casos de emergência como poderia ser a retirada da nova KSK. No entanto, tudo parece bem por enquanto. Um estudo feito por Duane Wessels da Verisign mostra claramente que os resolvedores adotaram a nova chave em 90% após um mês de espera desde que apareceu no keyset da raiz em fevereiro de 2025
(imagem tirada do estudo The 2024-2026 Root Zone KSK Rollover: Initial Observations and Early Trends)
Durante a 57ª cerimônia, foi usada uma nova versão do sistema operacional e ferramentas de controle dos HSM, chamado coen v2.0.1.
Mais uma vez, foi uma cerimônia impecável. Desde que me tornei CO há dois anos, esta é a primeira cerimônia sair do roteiro!
No keyset da raiz do DNS deveríamos ter dois KSK (a atual 20326 e a nova 38696), a ZSK 53148 e sua futura substituta 46441 que vai aparecer no final de junho; tudo assinado pela KSK 20326 atual.
Gostaria de aproveitar esta oportunidade para compartilhar com vocês que, durante a recente conferência LACNIC43, realizada em São Paulo, Brasil, fiz uma apresentação durante o Fórum Técnico sobre a rotação da chave da KSK, com foco nos operadores de ISP e empresas que operam resolvedores de DNS, para que estejam atentos ao momento definitivo em outubro de 2026; e revisem seus sistemas para verificar que já possuem a nova KSK (seja por meio de uma rotação automática via RFC5011, ou por meio de atualizações em seus sistemas operacionais ou software de DNS). Aproveitei para apresentar uma ferramenta (em estado Beta) que permite revisar se o seu provedor de DNS já está preparado, usando a técnica de sentinel do RFC8509, disponível em https://test.kskroll.vulcano.cl/
