A fines de abril del 2025, se realizó la ceremonia número 57 de la firma de la raíz del DNS en la base de la costa este de Estados Unidos. Asistimos como Operadores Criptográficos Pía Gruvö, Ondřej Filip, Nomsa Mwayenga y yo.

Esta ocasión fue un proceso normal de firma de la ZSK que estará publicada el tercer y cuarto trimestre de este año, y continuar con la pre-publicación de la nueva KSK, recordando que al estar en medio del proceso de rotación de KSK se debe tener cuidado de generar distintos escenarios, considerando casos de emergencia como podría ser el retiro de la nueva KSK. Sin embargo se ve todo bien por el momento. Un estudio realizado por Duane Wessels de Verisign, muestra claramente que los resolvers han acogido en un 90% la nueva llave luego de pasado el mes de espera desde que apareció en el keyset de la raíz, en febrero de 2025 (imagen tomada del estudio The 2024-2026 Root Zone KSK Rollover: Initial Observations and Early Trends )

Durante la ceremonia 57 se aprovechó de utilizar una nueva versión del sistema operativo y herramientas de control de los HSM, llamado coen v2.0.1.

De nuevo fue una ceremonia impecable. Desde que soy CO hace dos años, ¡es la primera ceremonia sin ninguna excepción al guión!

En el keyset de la raíz del DNS debiéramos dos KSK (la actual 20326 y la nueva 38696), la ZSK 53148 y su futuro reemplazo 46441 que aparecerá a fines de junio; todo firmado por la actual KSK 20326.

Quería aprovechar a oportunidad de contarles que durante la última conferencia LACNIC43 realizada en Sao Paulo, Brasil; di una presentación durante el Foro Técnico sobre la rotación de la llave de la KSK, enfocado hacia los operadores de ISP y empresas que operan DNS resolvers, para que estén atentos al momento definitivo en octubre de 2026, y revisen sus sistemas para verificar que ya poseen la nueva KSK (tanto por una rotación automática vía RFC5011, como por actualizaciones de sus sistemas operativos o software de DNS). Aproveché de presentar una herramienta (en estado Beta) que permite revisar si su proveedor de DNS ya está preparado, usando la técnica de sentinel del RFC8509, disponible en https://test.kskroll.vulcano.cl/

Pueden ver el video de la presentación en el canal de LACNIC en español y con traducción simultánea al inglés y portugués. Los slides están acá (PDF 820KB).