Skip to main content
Resources

Traspaso de la KSK de la zona raíz

Para obtener información actualizada sobre el estado, visite la página sobre el estado del traspaso. Las actualizaciones se enviarán a la lista de correo electrónico https://mm.icann.org/listinfo/ksk-rollover. En caso de tener una emergencia con su resolutor, por favor lea la información que se encuentra a continuación.

Root Zone KSK Rollover

Descripción general
Recursos
Participe
Antecedentes
Cronograma preliminar
Planes operacionales
Plan de comunicaciones

Actualizaciones técnicas

1 de febrero de 2018 – Anuncio del plan preliminar para continuar con el traspaso de la KSK

18 de diciembre de 2017 – Actualización sobre el proyecto de traspaso de la KSK de la zona raíz

17 de octubre de 2017 – Aplazamiento del traspaso de la KSK de la zona raíz

27 de septiembre de 2017 – La ICANN anuncia un aplazamiento para el traspaso de la KSK

4 de septiembre de 2017 – Revisión de los anclajes de confianza actuales en los resolutores de validación del DNS

4 de septiembre de 2017 – Actualización de los resolutores de validación del DNS con el ultimo anclaje de confianza

11 de julio de 2017 – La KSK de 2017 se encuentra publicada en el DNS

Descripción general

La ICANN está planificando llevar a cabo el traspaso de la clave para la firma de la llave (KSK) de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC) de la zona raíz como se requiere en la Declaración de Prácticas de DNSSEC de los Operadores de KSK de la Zona Raíz [TXT, 99 KB].

El traspaso de la KSK significa la generación de un nuevo par de claves cifradas (pública y privada), y la distribución del nuevo componente público a las partes que operan los resolutores de validación, entre ellos: Proveedores de Servicios de Internet; administradores de redes empresariales y otros operadores de resolutores del Sistema de Nombres de Dominio (DNS); desarrolladores de software de resolutores del DNS; integradores de sistemas; y distribuidores de hardware y software que instalan o remiten el "anclaje de confianza" de la raíz. La KSK se utiliza para firmar criptográficamente la Clave para la firma de la llave de la zona raíz (ZSK) que utiliza la entidad encargada del mantenimiento de la Zona Raíz para firmar con DNSSEC la zona raíz del DNS de Internet.

Mantener una KSK actualizada es esencial para garantizar que los resolutores del DNS de validación de DNSSEC continúen funcionando tras el traspaso. No contar con la KSK de la zona raíz actual implicará que los resolutores del DNS de validación de DNSSEC no podrán resolver ninguna consulta del DNS.

Los planes de traspaso fueron desarrollados por los Socios en la Gestión de la Zona Raíz; la ICANN en su rol de entidad operadora de las funciones de la IANA (Autoridad de Números Asignados en Internet), Verisign como la entidad encargada del mantenimiento de la Zona Raíz y la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de los Estados Unidos como la entidad administradora de la Zona Raíz. El rol de la NTIA finalizó el 1 de octubre de 2016. Los planes para el traspaso de la KSK se publicaron en julio de 2016 e incorporan las recomendaciones del Equipo de Diseño [PDF, 1.01 MB].

Recursos

Puede encontrar información relacionada y recursos adicionales en:

Participe

Formule una pregunta
Para presentar su pregunta, envíe un correo electrónico a globalsupport@icann.org indicando "Traspaso de KSK" en la línea de asunto.

Participe de un evento
Consulte el calendario de eventos para conocer las próximas presentaciones sobre el traspaso de la KSK.

Participe en las redes sociales
Use el hashtag #KeyRoll para unirse a la conversación: https://twitter.com/icann

Únase a la lista de discusión sobre el traspaso de la KSK
Suscríbase a la lista de correo electrónico para discusiones públicas sobre temas relacionados: https://mm.icann.org/listinfo/ksk-rollover

Difunda la información
Comparta esta página web con otras personas para ayudarlas a informarse sobre el traspaso de la KSK y cómo pueden verse afectadas.

Información de referencia

En 2009, los socios de la RZM (Gestión de la Zona Raíz) colaboraron para implementar las DNSSEC en la Zona Raíz, lo que culminó con la primera publicación de una zona raíz firmada y validada en el mes de julio de 2010.

Los requisitos [PDF, 116 KB] para generar y mantener la KSK de la zona raíz, así como las respectivas responsabilidades de cada socio de la RZM, fueron especificados por la NTIA. Los procedimientos a partir de los cuales la entidad encargada del mantenimiento de la Zona Raíz (Verisign) y la entidad operadora de las funciones de la IANA (ICANN) cumplen con estos requisitos se publicaron en Declaraciones de Prácticas (DPS) de DNSSEC independientes: DPS para el servicio de firma de las DNSSEC de VeriSign [PDF, 138 KB] y DPS para los Operadores de KSK de la zona raíz [TXT, 99 KB].

El Contrato de Funciones de la IANA entre la NTIA y la ICANN se modificó en julio de 2010 para incorporar las responsabilidades asociadas con la gestión de KSK de la Zona Raíz, así como también aquellos requisitos que se habían aplicado en posteriores revisiones de aquel contrato.

El Acuerdo de Cooperación entre la NTIA y VeriSign también se enmendó en julio de 2010 a fin de incluir las responsabilidades de VeriSign como operador de ZSK de la Zona Raíz.

El Contrato de Funciones de la IANA requirió un traspaso de la KSK de la Zona Raíz, pero no proporcionó requisitos detallados ni un plan de Implementación o cronograma detallado. La Declaración de Práctica para los Operadores de KSK de la Zona Raíz contiene esta declaración y establece el requisito de traspaso en la Sección 6.5:

"Toda KSK de la Zona Raíz realizará un traspaso mediante una ceremonia de claves según lo requerido por cronograma o cada cinco años de operación".

Cronograma

Estas fechas están sujetas a cambio en función de consideraciones operativas.

  • 27 de octubre de 2016: el proceso de traspaso de la KSK comienza cuando se genera la nueva KSK.
  • 11 de julio de 2017: publicación de la KSK nueva en el DNS.
  • 19 de septiembre de 2017: Aumento de tamaño de la respuesta de DNSKEY de los servidores de nombres raíz.
  • 1 de febrero de 2018: Comienzo del período de Comentario Público sobre el plan para retomar el traspaso de la KSK, el cual cierra el día 2 de abril de 2018.
  • A medida que se actualicen los planes del proyecto para el traspaso de la KSK de la raíz, se anunciarán más fechas

Planes operativos

  1. Plan de implementación operativa de traspaso de la KSK de 2017[PDF, 741 KB] - Describe en detalle los pasos operativos para llevar a cabo el proyecto de traspaso de la KSK de 2017, incluido el cronograma del proceso compuesto por ocho etapas. - Actualmente este documento está siendo actualizado para reflejar el aplazamiento anunciado el día 27 de septiembre de 2017.
  2. Plan Alternativo para el Traspaso de la KSK de 2017[PDF, 506 KB] - Describe las desviaciones anticipadas del Plan de Implementación Operacional en función de las anomalías que se produzcan al ejecutar el plan operativo.- Actualmente este documento está siendo actualizado para reflejar el aplazamiento anunciado el 27 de septiembre de 2017.
  3. Plan de prueba externa del traspaso de la KSK de 2017[PDF, 516 KB] - Abarca la preparación de entornos de prueba operativos, a los cuales el público general de Internet puede acceder, a fin de evaluar si los sistemas externos están listos para participar en el traspaso de la KSK.
  4. Plan de supervisión del traspaso de la KSK de 2017[PDF, 480 KB] - Describe el plan para supervisar los efectos de cambiar el anclaje de confianza para la zona raíz en el tráfico hacia los servidores raíz.
  5. Plan de prueba de sistemas de traspaso de la KSK 2017[PDF, 519 KB] - Describe las acciones necesarias para evaluar los cambios a la infraestructura de la ICANN involucrados en el traspaso de la KSK.

Plan de comunicaciones

La ICANN está llevando a cabo una extensa campaña de difusión para garantizar que aquellos que actualmente usan la KSK tomen conocimiento del cambio.

Archivo de noticias

Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."