- Visão geral
- As consultas DNS seguem na ordem cliente → recursive resolver (RR) → servidor raiz → servidor TLD → DNS autoritativo
- Aqui, a confiança nas camadas de raiz e TLD é mantida por assinaturas baseadas em chaves
- Este documento analisa em detalhes por quais procedimentos ocorre a renovação na cerimônia de assinatura da raiz
- Conteúdo
- O DNSSEC da raiz usa duas chaves
- KSK (Key Signing Key): a chave de assinatura de nível mais alto que assina todo o conjunto DNSKEY
- ZSK (Zone Signing Key): a chave que assina os registros de cada zona (zone)
- A KSK vinha sendo rotacionada em intervalos de 7 anos, mas agora será feita uma rotação a cada 3 anos
- A ZSK é renovada a cada 3 meses
- Para isso, sob a supervisão da ICANN, a cerimônia de assinatura da raiz é conduzida com vários responsáveis por segurança e autenticação múltipla baseada em HSM, e o andamento é transmitido publicamente ao vivo no YouTube
- Os documentos usados na cerimônia, a verificação de checksums, os logs públicos e os vídeos gravados são depois compartilhados externamente
- Conclusão
- Por meio desse processo transparente, o DNS raiz, que é o núcleo da confiança no nível mais alto da internet, é mantido por integridade criptográfica e por uma cadeia de confiança
1 comentários
Eu procurava esse vídeo há muito tempo nas minhas memórias vagas, mas como não conhecia o conceito, não conseguia encontrar; finalmente consegui vê-lo. Obrigado!