Aggiornamento 28 settembre 2017: ICANN ha annunciato ieri che il rollover KSK è stato posticipato. Il rollover è stato riprogrammato per il primo trimestre del 2018.
ICANN (Internet Corporation for Assigned Names and Numbers) ha in programma la modifica delle chiavi crittografiche utilizzate nel protocollo Domain Name System Security Extensions (DNSSEC), meglio noto con il nome di Root Zone KSK. È la prima volta che la Key Signing Key (KSK) viene modificato dalla sua introduzione nel 2010.
Qual è il compito della KSK nel DNSSEC?
La KSK ha un ruolo fondamentale nel proteggere gli utenti Internet da appropriazioni illecite dei nomi di dominio tramite validazione dei dati DNS. La mancanza di tale sicurezza potrebbe reindirizzare ad esempio gli utenti che effettuano il login al proprio online banking su un sito che invece ruba le credenziali. Così come nel cambio di una password, si cerca di diminuire possibili rischi.
In cosa consiste il rollover?
La modifica della chiave di accesso implica una nuova coppia di chiavi crittografiche pubbliche e private e la distribuzione della nuova componente pubblica a tutti i resolver. È essenziale ottenere la nuova chiave affinché dopo il rollover i siti Internet vengano riconosciuti come validi dal DNSSEC. Una KSK non aggiornata si traduce nell’incapacità da parte del resolver di verificare le risposte del DNS. Gli operatori di rete che hanno attivato la validazione DNSSEC devono quindi aggiornare i propri sistemi con le nuove chiavi e permettere così agli utenti di accedere alle pagine Internet.
Chi riguarda il rollover?
Secondo ICANN un utente su quattro, corrispondente a circa 750 milioni di persone, è coinvolte nel rollover. La KSK verrà aggiornata in automatico per le organizzazioni che operano le validazioni DNSSEC con software che supportano gli aggiornamenti automatici delle ancore di confidenza DNSSEC (RFC 5011). Non saranno necessarie ulteriori azioni, a meno che i dispositivi siano offline al momento dell’aggiornamento. Se il software invece non è configurato per gli aggiornamenti automatici, è necessario effettuare l’aggiornamento manualmente. ICANN ha pubblicato delle istruzioni per aggiornare la più recente ancora di fiducia.
In entrambi i casi, ICANN invita a testare e verificare i propri sistemi prima della data del rollover in modo da controllare la necessità di eventuali azioni. A tale scopo ha lanciato una piattaforma di test specificamente progettata per consentire agli operatori di rete e ad altre parti coinvolte di verificare se i propri sistemi possano gestire il processo di aggiornamento dell’ancora di fiducia automatizzato per il rollover KSK della zona root.
Quando avverrà il rollover?
ICANN ha stilato un calendario in diverse fasi. Ecco le date da tenere in considerazione:
11 luglio 2017: nuova KSK pubblicata nel DNS
19 settembre 2017: incremento di volume per la risposta DNSKEY dal root nameserver
11 ottobre 2017: la nuova KSK viene implementata Annullato
11 gennaio 2018: revoca della vecchia KSK
22 marzo 2018: ultimo giorno in cui la vecchia KSK sarà visibile nella zona del root
agosto 2018: la vecchia chiave viene rimossa dagli strumenti di gestione dell’ICANN
Gli operatori di rete e i provider di servizi Internet (ISP) hanno tempo fino al 11 ottobre 2017 per testare i propri resolver ricorsivi e assicurarsi di essere pronti a questa importante misura di sicurezza che modificherà le chiavi crittografiche che aiutano a proteggere il Domain Name System (DNS).
Scopri di più sul mondo dei nomi di dominio: registrar, registry e registrant.