A Diretoria da Corporação para Atribuição de Nomes e Números da Internet (ICANN) aprovou planos para que seja feita, pela primeira vez na história, a alteração da chave criptográfica que ajuda a proteger o DNS (Sistema de Nomes de Domínio), o diretório de endereços da Internet.
Durante uma reunião na Bélgica, em 16 de setembro, a diretoria da ICANN aprovou uma resolução pela qual instruiu a organização a proceder com seus planos de alterar ou substituir (roll) a chave da raiz do DNS, em 11 de outubro de 2018. Será a primeira vez que a chave passará por uma substituição desde que foi implantad, pela primeira vez, em 2010.
Em nota, o presidente da diretoria da ICANN, Cherine Chalaby, afirmou que este é um passo importante e que a organização tem a obrigação de garantir que isso aconteça de acordo à missão da ICANN de garantir um DNS seguro, estável e resiliente. “Não é possível garantir inteiramente que cada operador de redes terá seus ‘resolvedores’ configurados corretamente, mas, se tudo sair conforme planejado, esperamos que a grande maioria tenha acesso à zona raiz”, continuou.
Segundo a ICANN, alguns usuários da Internet podem ser afetados se os operadores de redes ou os provedores de serviços de internet (ISPs, na sigla em inglês) não se prepararem para a substituição. Os operadores que habilitaram a verificação da informação das extensões da Segurança para o Sistema de Nomes de Domínio ou DNSSEC (conjunto de protocolos de segurança utilizado para garantir que a segurança das informações do DNS não seja corrompida de forma acidental ou maliciosa) são aqueles que devem ter certeza de estar preparados para a substituição.
De acordo com David Conrad, o diretor de tecnologia da ICANN, pesquisas demonstram que há muitos operadores de redes que já habilitaram a validação do DNSSEC e aproximadamente um quarto dos usuários da Internet dependem desses operadores. “É quase certo que haverá alguns poucos operadores em algum ponto do planeta que não estarão preparados, mas, mesmo no pior dos casos, para resolver o problema só terão que desativar a validação do DNSSEC, instalar uma nova chave e habilitar novamente o DNSSEC. Assim, seus usuários terão plena conectividade novamente com o DNS”, afirmou em nota.
Originalmente, a substituição da chave raiz do DNS estava planejada para há um ano, mas foi feita uma pausa nos planos depois de a organização ter encontrado e analisado alguns novos dados de última hora. Esses dados estavam vinculados com a potencial preparação dos operadores de redes para a substituição da chave.
Finalmente, uma análise convenceu a organização de que poderia proceder com a substituição da chave de forma segura. Consequentemente, depois de uma consulta com a comunidade, a organização elaborou um novo plano pelo qual a nova chave seria implementada um ano mais tarde do originalmente programado. Nesse período, a organização continuou com as atividades de relacionamento e pesquisa sobre qual seria a melhor maneira de mitigar riscos associados com a substituição da chave.