[LACNIC/Seguridad] Propuesta de firma de la raíz del DNS sin validación habilitada por 6 meses

Francisco Arias francisco en arias.com.mx
Vie Oct 9 13:23:41 BRT 2009 

Quizá sea de interés la propuesta que IANA/ICANN y Verisign pusieron
sobre la mesa respecto a como hacer el "deployment" del firmado de la
zona raíz del DNS. Tiene implicaciones para los "DNS resolvers" de los
ISPs o cualquier otro interesado en hacer validación de DNSSEC.

Básicamente proponen firmar la zona raíz sin publicar la llave con la
que firmaron, sino una llave dummy (incluso con mensaje incluido para
los administradores de resolvers) por un periodo de 6 meses (enero a
junio del 2010) en el que se irían sumando root-servers a la
publicación de esta zona firmada" uno a uno. La idea es que si hay
problemas se haría más fácil el "rollback" a una zona no firmada.
Finalmente el 1 de julio del 2010 se publicarían por fin las llaves
verdaderas y se podría comenzar a validar la raíz.

En el mensaje que adjunto vienen las ligas a las presentaciones que se
dieron en el evento de RIPE esta semana.

Saludos,

fjac


---------- Forwarded message ----------
From: Jakob Schlyter <jakob en kirei.se>
Date: 2009/10/8
Subject: Re: [dnssec-deployment] About "no validation" for DNS root
signing strategy
To: DNSSEC deployment <dnssec-deployment en shinkuro.com>
Cc: Joe Abley <jabley en hopcount.ca>, Thierry Moreau
<thierry.moreau en connotech.com>


On 8 okt 2009, at 18.14, Thierry Moreau wrote:

> How do you train the world that "bogus" (intermittent bogus since not all root nameservers will deploy at the same time) is fine until some date, and then once deployed, "bogus" is bogus?

the intention with the DURZ, the Deliberately Unvalidatable Root Zone,
is that it should be obvious to everyone that it is not possible to
validate the signatures.  I do not know of any resolver that would try
to validate signatures, even though you do not have a trust anchor
configured, so to get any sort of validation failure you have to
actually configure the bad key.

we have considered using another algorithm identifier, but there are
currently no experimental identifiers [1]. we did consider using a
private algorithm, but decided that it could have other issues as
well.

       jakob (part of the design team together with Matt, Joe and
others at ICANN/VeriSign)


[1] http://www.iana.org/assignments/dns-sec-alg-numbers/


plenary presentation: http://tr.im/B88b
dnswg presentation:   http://tr.im/B87D

audio and transcripts soon available via http://rosie.ripe.net/.

Más información sobre la lista de distribución Seguridad