Tenho recebido vários questionamentos sobre se é verdade sobre a parada dos servidores DNS, então resolvi fazer esse post para responder.
Muito se tem noticiado sobre a troca das chaves KSK dos servidores DNS, e que com essa troca o seu servidor ira parar e a internet no mundo corre o risco de parar mais precisamente em outubro de 2018, mas será que isso é uma verdade absoluta?
Vejamos então:
De acordo com o documento disponível na ICANN as datas são as seguintes:
- Outubro de 2016: geração da nova KSK
- Fevereiro de 2017: publicação da nova KSK no site da IANA
- Julho de 2017: publicação da nova KSK no DNS
- Outubro de 2017: uso da nova KSK para assinatura (a revisão em si)
- Janeiro de 2018: revogação da KSK antiga
- Março de 2018: destruição segura da KSK antiga e conclusão do processo de revisão
https://www.icann.org/pt/system/files/files/ksk-rollover-at-a-glance-22jul16-pt.pdf
Entendendo o funcionamento!
Para isso precisamos entender bem o conceito e funcionamento dos servidores DNS para entendermos onde as chaves KSK se encaixam.
O NIC.br tem um canal no youtube que particularmente acho fantástico, eles disponibilizam vários vídeos explicativos que foram desenvolvidos em uma linguagem muito simples para entendimento do funcionamento da internet, e um desses vídeos eu vou colocar aqui para que possamos entender o funcionamento do DNS e DNSSEC.
Após ver o vídeo sabemos então que o DNSSEC aplica uma camada de segurança no DNS usando criptografia, evitando assim diversos problemas que o DNS sofre em razão de sua arquitetura.
Para o DNSSEC existe uma etapa do processo de consulta que se chama VALIDAÇÃO, nessa etapa os servidores utilizam uma cadeia de chaves de criptografia para comparar se a chave criptográfica utilizada pelo servidor que esta consultando é válida, utilizando diversos parâmetros para essa validação.
E então é aqui que a coisa toda acontece, existe uma chave criptográfica chamada de Trust Anchor assinada em 2010 que de acordo com a sua documentação deve ser trocada a cada 5 anos ou quando acontecer algum incidente. Ela é responsável pela validação da troca de informação entre os servidores DNS.
Está chave já deveria ter sido trocada, porém por diversas situações políticas e afins não foi trocada e agora chegou a hora.
Mas como nossos arquitetos de tecnologia acompanham a evolução, adivinha só, alguém imaginou que isso iria acontecer e que iria dar um trabalhão para trocar todas as chaves dos servidores DNS espalhados pelo mundo, tu acredita nisso?
É verdade, a maioria dos servidores DNS implementam a RFC 5011, ela é responsável pela atualização da chave Trust Anchor e assim o administrador de rede pode ficar um pouco mais tranquilo.
Para quem usa UNBOUND:
A partir da versão 1.4.0(Nov/2009)
server:
auto-trust-anchor-file: “/var/lib/unbound/root.key”
Nas versões mais novas o UNBOUND já separa essa configuração direto pelo arquivo /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf
Conteúdo do arquivo:
server:
# The following line will configure unbound to perform cryptographic
# DNSSEC validation using the root trust anchor.
auto-trust-anchor-file: “/var/lib/unbound/root.key”
Para quem usa BIND:
A partir da versão 9.8 (Mar/2011)
No arquivo /etc/bind/named.conf.options
options{
dnssec-validation auto;
};
Deixo aqui um vídeo do GTER 42 com o Frederico Neves que é CTO-Diretor de Serviços e de Tecnologia do Nic.br uma verdadeira aula do que será o Roll-over da KSK raiz.
Bom é isso pessoal, espero que tenha ajudado a esclarecer as dúvidas ou até mesmo sana-las.
Vale lembrar que grande parte dos canais que estão falando sobre o assunto estão interessados em alertar para um possível problema, para que as pessoas responsáveis tomem os devidos cuidados e evitem caso necessário um potencial problema.
Nosso compromisso é sempre em fornecer informações relevantes e de qualidade.
Grande abraço a todos!