- Resumen
- Las consultas DNS avanzan en el orden cliente → recursive resolver (RR) → servidor raíz → servidor TLD → DNS autoritativo
- Aquí, la confianza en las capas de raíz y TLD se mantiene mediante firmas basadas en claves
- Este documento examina en detalle mediante qué procedimientos se actualizan durante la ceremonia de firma de la raíz
- Contenido
- El DNSSEC de la raíz usa dos tipos de claves
- KSK (Key Signing Key): la clave de firma de nivel superior que firma todo el conjunto de DNSKEY
- ZSK (Zone Signing Key): la clave que firma los registros de cada zona (
zone)
- La KSK se estaba rotando a intervalos de 7 años, pero ahora se hará una vez cada 3 años
- La ZSK se renueva cada 3 meses
- Para ello, bajo la supervisión de ICANN, la ceremonia de firma de la raíz se realiza con múltiples responsables de seguridad y autenticación múltiple basada en HSM, y el progreso se transmite públicamente en vivo por YouTube
- Los documentos usados en la ceremonia, la verificación de checksums, los registros públicos y los videos grabados se comparten posteriormente de forma externa
- Conclusión
- Gracias a este proceso transparente, el DNS raíz, pieza central de la confianza de más alto nivel en Internet, se mantiene mediante integridad criptográfica y un esquema de confianza
1 comentarios
Llevaba mucho tiempo tratando de encontrar este video en mi memoria borrosa, pero como no conocía el concepto no podía hallarlo; ¡por fin lo veo! ¡Gracias!