<div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace">Carlos,</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">¿Por qué se hace una transición y no una migración completa? Me debo imaginar que es porque hay gente que no se va a enterar que se cambia el protocolo que genera la clave hasta el último día. Si esto es así, ¿quiénes deberían comenzar a preocuparse en este momento?</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">Otra pregunta. Como todo en la vida hay fanáticos, ¿los hay de RSA vs. ECDSA?</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">Saludos,</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">Tomás</div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Tue, Feb 3, 2026 at 4:57 PM Carlos Martinez-Cagnazzo <<a href="mailto:carlos@lacnic.net">carlos@lacnic.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><u></u>

  

    
  
  <div>
    <p>Hola a todos!</p>
    <p>En ICANN están considerando realizar un "algorithm rollover" de
      la KSK de la raiz, es decir cambiar el _algoritmo_ que se utiliza
      para generar el par de claves que se utiliza para firmar la zona
      raiz del DNS.</p>
    <p>Les envio la consulta publica ya que puede ser de interes de
      ustedes operadores. </p>
    <p>s2</p>
    <p>/Carlos</p>
    <div><br>
      <br>
      -------- Forwarded Message --------
      <table cellpadding="0" cellspacing="0" border="0">
        <tbody>
          <tr>
            <th valign="BASELINE" align="RIGHT" nowrap>Subject:
            </th>
            <td>Proposal for Root Zone KSK Algorithm Rollover</td>
          </tr>
          <tr>
            <th valign="BASELINE" align="RIGHT" nowrap>Date: </th>
            <td>Tue, 3 Feb 2026 21:06:14 +0000</td>
          </tr>
          <tr>
            <th valign="BASELINE" align="RIGHT" nowrap>From: </th>
            <td>Andres Pavez via root-dnssec-announce
              <a href="mailto:root-dnssec-announce@icann.org" target="_blank"><root-dnssec-announce@icann.org></a></td>
          </tr>
          <tr>
            <th valign="BASELINE" align="RIGHT" nowrap>Reply-To:
            </th>
            <td>Andres Pavez <a href="mailto:andres.pavez@iana.org" target="_blank"><andres.pavez@iana.org></a></td>
          </tr>
          <tr>
            <th valign="BASELINE" align="RIGHT" nowrap>To: </th>
            <td><a href="mailto:root-dnssec-announce@icann.org" target="_blank">root-dnssec-announce@icann.org</a>
              <a href="mailto:root-dnssec-announce@icann.org" target="_blank"><root-dnssec-announce@icann.org></a></td>
          </tr>
        </tbody>
      </table>
      <br>
      <br>
      We would like to announce that the Proposal for Root Zone KSK
      Algorithm Rollover has been released for public comment and is
      available for review on the ICANN website:<br>
      <br>
<a href="https://www.icann.org/en/public-comment/proceeding/proposed-root-ksk-algorithm-rollover-03-02-2026" target="_blank">https://www.icann.org/en/public-comment/proceeding/proposed-root-ksk-algorithm-rollover-03-02-2026</a>
      <br>
      The proposal describes a multi-year plan to generate a new ECDSA
      Root KSK in 2027 and retire the RSA Root KSK by 2030. It includes:<br>
      <br>
      * Transitioning the DNS root KSK from RSA/SHA-256 to ECDSA
      P-256/SHA-256<br>
      * Following a traditional double-signing approach, with both
      algorithms running in parallel during the transition<br>
      * Adjusting the RSA ZSK size from 2048 to 1536 bits prior to the
      transition, to reduce the possible need to truncation and
      retransmission over TCP.<br>
      <br>
      Community feedback on the methodology, timeline, operational
      readiness, and any additional risks is encouraged. <br>
      The public comment period is open through 6 April 2026.<br>
      <br>
      Thanks,<br>
      <pre>-- 
Andres Pavez Cryptographic Key Manager 


</pre>
    </div>
  </div>

_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>