Os operadores de rede e provedores de serviços de Internet ainda têm tempo de testar os resolvedores recursivos para garantir que eles estejam preparados para a mudança das chaves criptográficas que ajudam a proteger o DNS (Sistema de Nomes de Domínio).
Os operadores podem usar um ambiente de teste implementado pela ICANN para confirmar se os resolvedores com validação de DNSSEC habilitada seguirão de forma adequada a mudança da chave de assinatura de chaves (KSK) das Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC).
A ICANN lançou uma plataforma de teste em março de 2017, desenvolvida especificamente para permitir que os operadores de rede e outras partes interessadas confirmem que seus sistemas podem lidar com o processo automatizado de atualização da âncora de confiança para a renovação da KSK da zona raiz.
Para participar dos testes, os operadores de rede e provedores de serviços de Internet entram em uma lista de e-mails que informa as etapas necessárias e quando realizar esses testes. É possível começar a qualquer momento, mas o teste todo leva aproximadamente 45 dias, sendo que os resultados mais importantes são disponibilizados aproximadamente 30 dias depois do início.
Como a renovação da KSK está programada para 11 de outubro de 2017, recomendamos que os operadores de resolvedores recursivos com a validação de DNSSEC ativada verifiquem se seus sistemas estão atualizados com a nova KSK da zona raiz configurada como âncora de confiança. Se esses sistemas não forem compatíveis com a atualização automatizada do protocolo da âncora de confiança ou não implementarem essa atualização de forma correta, a âncora de confiança deve ser configurada manualmente. Se a âncora de confiança de um resolvedor recursivo não for atualizada, a resolução do DNS falhará para todos os clientes que estiverem usando esse resolvedor recursivo, fazendo com que todas as buscas retornem a mensagem de erro "host não encontrado" ou outra similar.
A ICANN publicou instruções para a verificação das configurações das implementações mais usadas de resolvedores recursivos para definir se a KSK da zona raiz está configurada corretamente como âncora de confiança.
A ICANN também publicou instruções para configurar as implementações mais usadas de resolvedores recursivos para utilizar o protocolo automatizado de âncora de confiança e ficar atualizadas com a KSK mais recente da zona raiz.
Para saber mais sobre a renovação da KSK da zona raiz, acesse o nosso site aqui. Você também pode acessar a página do ambiente de teste aqui ou enviar perguntas pelo e-mail automated-ksk-test@research.icann.org
