A rotação de chaves criptográficas aconteceu ontem pela primeira vez, com a utilização de uma nova KSK que foi publicada em julho de 2017 e que deve ser aplicada por quem opera servidores de nomes recursivos e usa a validação DNSSEC. Tudo foi preparado pela ICANN, a organização que gere a infraestrutura da internet, que lançou um guia a explicar o processo em detalhe, em coordenação com as várias organizações que gerem os DNS de cada país.

A operação esteve inicialmente agendada para 11 de Outubro de 2017, mas foi adiada porque um significativo número de "resolvers" usados pelos prestadores de serviços de internet (ISP) e operadores de redes não estavam ainda preparados para a implementação da nova chave. Desta forma ficou definida a mudança para 11 de outubro de 2018, às 16 horas UTC (Hora Universal) e mais de 24 horas depois tudo indica que a operação decorreu sem problemas.

Mas afinal o que é isto da rotação de chaves criptográficas? O DNS.pt explicou ao SAPO TEK que “o que está aqui em causa é a substituição da chave que atualmente assina a raiz mundial, também conhecida como KSK 19036, pela KSK 20326. Esta chave não tem, habitualmente, visibilidade para o utilizador comum, apesar de todos os dias estar presente na utilização da internet”. A primeira assinatura com chaves criptográficas na raiz do sistema DNS (Domain Name System) foi feita em 2010, e esta é a primeira rotação aplicada, embora se preveja que o processo passe agora a ser mais regular, prevendo-se que a próxima aconteça daqui a 5 anos.

“Esta alteração é apenas mais uma mudança normal na infraestrutura da internet e, tal como já referido acima, não se prevê que tenha impacto nos utilizadores”, explica Eduardo Duarte, diretor de infraestruturas e Sistemas da Associação DNS.PT.

O DNS.PT tem vindo a acompanhar este processo e já procedeu à rotação das chaves DNSSEC do .PT. Para além da rotação das chaves foi também renovada a infraestrutura que suporta o sistema DNSSEC, tendo agora maior resiliência e segurança, explica a associação.

A comunicação tem também sido feita com os operadores e os "registrars", e Eduardo Duarte explica que os gestores de nomes de domínio assinados com DNSSEC não terão de fazer nada face a esta alteração. “Deverão, simplesmente, continuar a usar o seu domínio assinado; por outro, os operadores de redes (Ex: ISP's) e outros operadores de servidores de DNS recursivos que terão de ter os seus sistemas preparados para a alteração”, adianta. Esta alteração poderá ser feita de várias formas, mas, tipicamente, acontece com a atualização do software dos servidores recursivos.

“Tendo em conta os últimos dados disponíveis, não se prevê que a transição tenha impacto nos mesmos nem nos utilizadores”, refere o responsável.

Também do lado do ICANN tudo aponta para um clima de “tranquilidade”. Nas primeiras 24 horas foram registados apenas alguns erros que foram “rapidamente corrigidos”. O estado da implementação pode ser acompanhada nesta página.

Newsletter

Receba o melhor do SAPO Tek. Diariamente. No seu email.

Na sua rede favorita

Siga-nos na sua rede favorita.