<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p>Agrego (o mas bien refuerzo) lo que dice Nico en relación a las
      actualizaciones de software.</p>
    <p>Cuando se introduce un algoritmo nuevo, que no ha tenido uso
      masivo, siempre existe la posibilidad de que hayan bugs esperando
      para salir y mordernos la nariz. Ademas, bueno, las prácticas de
      actualización de software de muchos dejan, bueeno, muchas
      "oportunidades de mejora" y quizas incluso sus DNS no soporten
      estos algoritmos nuevos. </p>
    <p>Este ciclo de 2 años parece un compromiso bastante prudente para
      permitir debuguear y validar todos estos cabos sueltos.</p>
    <p>Salute!</p>
    <p>/Carlos</p>
    <div class="moz-cite-prefix">On 4/2/26 10:28 AM, Nicolas Antoniello
      wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:CADHEbK_9SktdtM0vrcQaFQmFeqWR3Ej=U=d=2we8BXnWuudKGg@mail.gmail.com">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div dir="auto">Hola Tomás,</div>
      <div dir="auto"><br>
      </div>
      <div dir="auto">Hay varias razones para no “bajar” una firma y
        “subir” la otra en forma instantánea… una de ellas son los
        tiempos de propagación y los TTL. Imagínate que vos tenés
        cacheada la anterior y yo la quito antes de que consultes
        nuevamente? En ese caso te quedarías sin resolución.</div>
      <div dir="auto">Por la forma en que funciona el protocolo, basta
        con tener una firma válida para que funcione. De esa forma
        evitas problemas con la resolución.</div>
      <div dir="auto">Empezar a preocuparse yo creo que nadie, pero si
        verificar que están al día con las actualizaciones del software
        que utilicen y cuando la nueva firma esté publicada verificar al
        menos una vez que mi resolver la utiliza correctamente.</div>
      <div dir="auto">También  puede ser que algunos tengan configurado
        “manualmente” la clave y en forma estática, En ese caso la
        recomendación sería pasarlo a automático y porsupuesto si no,
        hacer el cambio manual una vez que la nueva esté publicada. </div>
      <div dir="auto">Como es una “transición” hay tiempo más que
        suficiente para que todos puedan hacerlo tranquilamente creo yo.</div>
      <div dir="auto"><br>
      </div>
      <div dir="auto">Saludos,</div>
      <div dir="auto">Nico</div>
      <div dir="auto"><br>
      </div>
      <div><br>
        <div class="gmail_quote gmail_quote_container">
          <div dir="ltr" class="gmail_attr">El El mié, feb 4, 2026 a
            la(s) 08:02, Tomas Lynch <<a
              href="mailto:tomas.lynch@gmail.com" moz-do-not-send="true"
              class="moz-txt-link-freetext">tomas.lynch@gmail.com</a>>
            escribió:<br>
          </div>
          <blockquote class="gmail_quote"
style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">
            <div dir="ltr">
              <div class="gmail_default"
                style="font-family:monospace,monospace">Carlos,</div>
              <div class="gmail_default"
                style="font-family:monospace,monospace"><br>
              </div>
              <div class="gmail_default"
                style="font-family:monospace,monospace">¿Por qué se hace
                una transición y no una migración completa? Me debo
                imaginar que es porque hay gente que no se va a enterar
                que se cambia el protocolo que genera la clave hasta el
                último día. Si esto es así, ¿quiénes deberían comenzar a
                preocuparse en este momento?</div>
              <div class="gmail_default"
                style="font-family:monospace,monospace"><br>
              </div>
              <div class="gmail_default"
                style="font-family:monospace,monospace">Otra pregunta.
                Como todo en la vida hay fanáticos, ¿los hay de RSA vs.
                ECDSA?</div>
              <div class="gmail_default"
                style="font-family:monospace,monospace"><br>
              </div>
              <div class="gmail_default"
                style="font-family:monospace,monospace">Saludos,</div>
              <div class="gmail_default"
                style="font-family:monospace,monospace"><br>
              </div>
              <div class="gmail_default"
                style="font-family:monospace,monospace">Tomás</div>
            </div>
            <br>
            <div class="gmail_quote">
              <div dir="ltr" class="gmail_attr">On Tue, Feb 3, 2026 at
                4:57 PM Carlos Martinez-Cagnazzo <<a
                  href="mailto:carlos@lacnic.net" target="_blank"
                  moz-do-not-send="true" class="moz-txt-link-freetext">carlos@lacnic.net</a>>
                wrote:<br>
              </div>
              <blockquote class="gmail_quote"
style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">
                <div>
                  <p>Hola a todos!</p>
                  <p>En ICANN están considerando realizar un "algorithm
                    rollover" de la KSK de la raiz, es decir cambiar el
                    _algoritmo_ que se utiliza para generar el par de
                    claves que se utiliza para firmar la zona raiz del
                    DNS.</p>
                  <p>Les envio la consulta publica ya que puede ser de
                    interes de ustedes operadores. </p>
                  <p>s2</p>
                  <p>/Carlos</p>
                  <div><br>
                    <br>
                    -------- Forwarded Message --------
                    <table cellpadding="0" cellspacing="0" border="0">
                      <tbody>
                        <tr>
                          <th valign="BASELINE" align="RIGHT"
                            nowrap="nowrap">Subject: </th>
                          <td>Proposal for Root Zone KSK Algorithm
                            Rollover</td>
                        </tr>
                        <tr>
                          <th valign="BASELINE" align="RIGHT"
                            nowrap="nowrap">Date: </th>
                          <td>Tue, 3 Feb 2026 21:06:14 +0000</td>
                        </tr>
                        <tr>
                          <th valign="BASELINE" align="RIGHT"
                            nowrap="nowrap">From: </th>
                          <td>Andres Pavez via root-dnssec-announce <a
href="mailto:root-dnssec-announce@icann.org" target="_blank"
                              moz-do-not-send="true"><root-dnssec-announce@icann.org></a></td>
                        </tr>
                        <tr>
                          <th valign="BASELINE" align="RIGHT"
                            nowrap="nowrap">Reply-To: </th>
                          <td>Andres Pavez <a
                              href="mailto:andres.pavez@iana.org"
                              target="_blank" moz-do-not-send="true"><andres.pavez@iana.org></a></td>
                        </tr>
                        <tr>
                          <th valign="BASELINE" align="RIGHT"
                            nowrap="nowrap">To: </th>
                          <td><a
href="mailto:root-dnssec-announce@icann.org" target="_blank"
                              moz-do-not-send="true"
                              class="moz-txt-link-freetext">root-dnssec-announce@icann.org</a>
                            <a
href="mailto:root-dnssec-announce@icann.org" target="_blank"
                              moz-do-not-send="true"><root-dnssec-announce@icann.org></a></td>
                        </tr>
                      </tbody>
                    </table>
                    <br>
                    <br>
                    We would like to announce that the Proposal for Root
                    Zone KSK Algorithm Rollover has been released for
                    public comment and is available for review on the
                    ICANN website:<br>
                    <br>
                    <a
href="https://www.icann.org/en/public-comment/proceeding/proposed-root-ksk-algorithm-rollover-03-02-2026"
                      target="_blank" moz-do-not-send="true"
                      class="moz-txt-link-freetext">https://www.icann.org/en/public-comment/proceeding/proposed-root-ksk-algorithm-rollover-03-02-2026</a>
                    <br>
                    The proposal describes a multi-year plan to generate
                    a new ECDSA Root KSK in 2027 and retire the RSA Root
                    KSK by 2030. It includes:<br>
                    <br>
                    * Transitioning the DNS root KSK from RSA/SHA-256 to
                    ECDSA P-256/SHA-256<br>
                    * Following a traditional double-signing approach,
                    with both algorithms running in parallel during the
                    transition<br>
                    * Adjusting the RSA ZSK size from 2048 to 1536 bits
                    prior to the transition, to reduce the possible need
                    to truncation and retransmission over TCP.<br>
                    <br>
                    Community feedback on the methodology, timeline,
                    operational readiness, and any additional risks is
                    encouraged. <br>
                    The public comment period is open through 6 April
                    2026.<br>
                    <br>
                    Thanks,<br>
                    <pre style="font-family:monospace">-- 
Andres Pavez Cryptographic Key Manager 


</pre>
                  </div>
                </div>
                _______________________________________________<br>
                LACNOG mailing list<br>
                <a href="mailto:LACNOG@lacnic.net" target="_blank"
                  moz-do-not-send="true" class="moz-txt-link-freetext">LACNOG@lacnic.net</a><br>
                <a
                  href="https://mail.lacnic.net/mailman/listinfo/lacnog"
                  rel="noreferrer" target="_blank"
                  moz-do-not-send="true" class="moz-txt-link-freetext">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
                Cancelar suscripcion: <a
                  href="https://mail.lacnic.net/mailman/options/lacnog"
                  rel="noreferrer" target="_blank"
                  moz-do-not-send="true" class="moz-txt-link-freetext">https://mail.lacnic.net/mailman/options/lacnog</a><br>
              </blockquote>
            </div>
            _______________________________________________<br>
            LACNOG mailing list<br>
            <a href="mailto:LACNOG@lacnic.net" target="_blank"
              moz-do-not-send="true" class="moz-txt-link-freetext">LACNOG@lacnic.net</a><br>
            <a href="https://mail.lacnic.net/mailman/listinfo/lacnog"
              rel="noreferrer" target="_blank" moz-do-not-send="true"
              class="moz-txt-link-freetext">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
            Cancelar suscripcion: <a
              href="https://mail.lacnic.net/mailman/options/lacnog"
              rel="noreferrer" target="_blank" moz-do-not-send="true"
              class="moz-txt-link-freetext">https://mail.lacnic.net/mailman/options/lacnog</a><br>
          </blockquote>
        </div>
      </div>
      <br>
      <fieldset class="moz-mime-attachment-header"></fieldset>
      <pre wrap="" class="moz-quote-pre">_______________________________________________
LACNOG mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
Cancelar suscripcion: <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
</pre>
    </blockquote>
  </body>
</html>