Testigos de la firma de la zona .UY
23/06/2022
Por Carlos Martínez – CTO de LACNIC
El TLD .UY (Uruguay) renovó sus firmas de zona utilizando su KSK (Key Signing Key), una llave criptográfica que te permite firmar la zona de DNS (Domain Name System) y de esa forma fortalecer el sistema y la confianza en Internet.
La KSK es la llave que se utiliza para firmar digitalmente el conjunto de llaves de firma de la zona raíz. El .uy del DNS tiene el compromiso -como todos los TLDs (Top Level Domain, por sus siglas en inglés)- de firmar su espacio utilizando DNSSEC.
Una buena práctica -aceptada y recomendada mundialmente- es rotar las firmas, rotando las claves. Las firmas en el DNS, tienen una particularidad, y es que precisás la ayuda de la raíz para validarlo.
Cambiar la clave implica generar un nuevo par de claves criptográficas y distribuir el nuevo componente público a todos los resolvedores que validan DNSSEC a nivel global. Este es un cambio significativo dado que cada consulta a Internet que utiliza DNSSEC depende de la KSK de la zona raíz para validar el destino.
No tener la KSK de la zona raíz actualizada significa que los resolvedores de DNS que validan DNSSEC no pueden resolver ninguna consulta al DNS.
El mecanismo que se utiliza consiste en desdoblar las firmas en dos: la ZSK (cualquier cambio en tu zona) y la KSK, que es la clave para salir del .UY.
(Acceso libre, no requiere suscripción)
En el caso de Uruguay se fijó un plazo de cinco años para renovar la clave. Con la KSK, se generan ZSK, por lo general se generan el doble de las claves que se precisan.
La ceremonia para generar nuevas claves en Uruguay se hizo en el data center de Pocitos, donde se encuentra el rack con el servidor HSM.
¿Quiénes estuvimos en la ceremonia? Dos crypto officers, (cada uno con un usb), una escribana y cinco testigos, para generar transparencia por si sucede un inconveniente.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.