<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Agrego (o mas bien refuerzo) lo que dice Nico en relación a las
actualizaciones de software.</p>
<p>Cuando se introduce un algoritmo nuevo, que no ha tenido uso
masivo, siempre existe la posibilidad de que hayan bugs esperando
para salir y mordernos la nariz. Ademas, bueno, las prácticas de
actualización de software de muchos dejan, bueeno, muchas
"oportunidades de mejora" y quizas incluso sus DNS no soporten
estos algoritmos nuevos. </p>
<p>Este ciclo de 2 años parece un compromiso bastante prudente para
permitir debuguear y validar todos estos cabos sueltos.</p>
<p>Salute!</p>
<p>/Carlos</p>
<div class="moz-cite-prefix">On 4/2/26 10:28 AM, Nicolas Antoniello
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:CADHEbK_9SktdtM0vrcQaFQmFeqWR3Ej=U=d=2we8BXnWuudKGg@mail.gmail.com">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<div dir="auto">Hola Tomás,</div>
<div dir="auto"><br>
</div>
<div dir="auto">Hay varias razones para no “bajar” una firma y
“subir” la otra en forma instantánea… una de ellas son los
tiempos de propagación y los TTL. Imagínate que vos tenés
cacheada la anterior y yo la quito antes de que consultes
nuevamente? En ese caso te quedarías sin resolución.</div>
<div dir="auto">Por la forma en que funciona el protocolo, basta
con tener una firma válida para que funcione. De esa forma
evitas problemas con la resolución.</div>
<div dir="auto">Empezar a preocuparse yo creo que nadie, pero si
verificar que están al día con las actualizaciones del software
que utilicen y cuando la nueva firma esté publicada verificar al
menos una vez que mi resolver la utiliza correctamente.</div>
<div dir="auto">También puede ser que algunos tengan configurado
“manualmente” la clave y en forma estática, En ese caso la
recomendación sería pasarlo a automático y porsupuesto si no,
hacer el cambio manual una vez que la nueva esté publicada. </div>
<div dir="auto">Como es una “transición” hay tiempo más que
suficiente para que todos puedan hacerlo tranquilamente creo yo.</div>
<div dir="auto"><br>
</div>
<div dir="auto">Saludos,</div>
<div dir="auto">Nico</div>
<div dir="auto"><br>
</div>
<div><br>
<div class="gmail_quote gmail_quote_container">
<div dir="ltr" class="gmail_attr">El El mié, feb 4, 2026 a
la(s) 08:02, Tomas Lynch <<a
href="mailto:tomas.lynch@gmail.com" moz-do-not-send="true"
class="moz-txt-link-freetext">tomas.lynch@gmail.com</a>>
escribió:<br>
</div>
<blockquote class="gmail_quote"
style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">
<div dir="ltr">
<div class="gmail_default"
style="font-family:monospace,monospace">Carlos,</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">¿Por qué se hace
una transición y no una migración completa? Me debo
imaginar que es porque hay gente que no se va a enterar
que se cambia el protocolo que genera la clave hasta el
último día. Si esto es así, ¿quiénes deberían comenzar a
preocuparse en este momento?</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">Otra pregunta.
Como todo en la vida hay fanáticos, ¿los hay de RSA vs.
ECDSA?</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">Saludos,</div>
<div class="gmail_default"
style="font-family:monospace,monospace"><br>
</div>
<div class="gmail_default"
style="font-family:monospace,monospace">Tomás</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">On Tue, Feb 3, 2026 at
4:57 PM Carlos Martinez-Cagnazzo <<a
href="mailto:carlos@lacnic.net" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">carlos@lacnic.net</a>>
wrote:<br>
</div>
<blockquote class="gmail_quote"
style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)">
<div>
<p>Hola a todos!</p>
<p>En ICANN están considerando realizar un "algorithm
rollover" de la KSK de la raiz, es decir cambiar el
_algoritmo_ que se utiliza para generar el par de
claves que se utiliza para firmar la zona raiz del
DNS.</p>
<p>Les envio la consulta publica ya que puede ser de
interes de ustedes operadores. </p>
<p>s2</p>
<p>/Carlos</p>
<div><br>
<br>
-------- Forwarded Message --------
<table cellpadding="0" cellspacing="0" border="0">
<tbody>
<tr>
<th valign="BASELINE" align="RIGHT"
nowrap="nowrap">Subject: </th>
<td>Proposal for Root Zone KSK Algorithm
Rollover</td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT"
nowrap="nowrap">Date: </th>
<td>Tue, 3 Feb 2026 21:06:14 +0000</td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT"
nowrap="nowrap">From: </th>
<td>Andres Pavez via root-dnssec-announce <a
href="mailto:root-dnssec-announce@icann.org" target="_blank"
moz-do-not-send="true"><root-dnssec-announce@icann.org></a></td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT"
nowrap="nowrap">Reply-To: </th>
<td>Andres Pavez <a
href="mailto:andres.pavez@iana.org"
target="_blank" moz-do-not-send="true"><andres.pavez@iana.org></a></td>
</tr>
<tr>
<th valign="BASELINE" align="RIGHT"
nowrap="nowrap">To: </th>
<td><a
href="mailto:root-dnssec-announce@icann.org" target="_blank"
moz-do-not-send="true"
class="moz-txt-link-freetext">root-dnssec-announce@icann.org</a>
<a
href="mailto:root-dnssec-announce@icann.org" target="_blank"
moz-do-not-send="true"><root-dnssec-announce@icann.org></a></td>
</tr>
</tbody>
</table>
<br>
<br>
We would like to announce that the Proposal for Root
Zone KSK Algorithm Rollover has been released for
public comment and is available for review on the
ICANN website:<br>
<br>
<a
href="https://www.icann.org/en/public-comment/proceeding/proposed-root-ksk-algorithm-rollover-03-02-2026"
target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">https://www.icann.org/en/public-comment/proceeding/proposed-root-ksk-algorithm-rollover-03-02-2026</a>
<br>
The proposal describes a multi-year plan to generate
a new ECDSA Root KSK in 2027 and retire the RSA Root
KSK by 2030. It includes:<br>
<br>
* Transitioning the DNS root KSK from RSA/SHA-256 to
ECDSA P-256/SHA-256<br>
* Following a traditional double-signing approach,
with both algorithms running in parallel during the
transition<br>
* Adjusting the RSA ZSK size from 2048 to 1536 bits
prior to the transition, to reduce the possible need
to truncation and retransmission over TCP.<br>
<br>
Community feedback on the methodology, timeline,
operational readiness, and any additional risks is
encouraged. <br>
The public comment period is open through 6 April
2026.<br>
<br>
Thanks,<br>
<pre style="font-family:monospace">--
Andres Pavez Cryptographic Key Manager
</pre>
</div>
</div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">LACNOG@lacnic.net</a><br>
<a
href="https://mail.lacnic.net/mailman/listinfo/lacnog"
rel="noreferrer" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a
href="https://mail.lacnic.net/mailman/options/lacnog"
rel="noreferrer" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote>
</div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank"
moz-do-not-send="true" class="moz-txt-link-freetext">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog"
rel="noreferrer" target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a
href="https://mail.lacnic.net/mailman/options/lacnog"
rel="noreferrer" target="_blank" moz-do-not-send="true"
class="moz-txt-link-freetext">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote>
</div>
</div>
<br>
<fieldset class="moz-mime-attachment-header"></fieldset>
<pre wrap="" class="moz-quote-pre">_______________________________________________
LACNOG mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
Cancelar suscripcion: <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
</pre>
</blockquote>
</body>
</html>