A mediados de octubre de 2024 se realizó una nueva ceremonia de firma de la raíz, esta vez con tres objetivos:
Además se firmó un set en el caso que fuera necesario retirar la nueva llave. Esto es en el caso de alguna emergencia, por ejemplo que al publicar la nueva llave algunos resolvers tengan algún problema por el nuevo tamaño. Es poco probable, esta es la tercera rotación en la historia, y las otras no tuvieron problemas. Pero es muy importante tener un “plan de escape” por cualquier emergencia.
La nueva llave KSK-2024 tiene el siguiente hash DS y llave pública:
. IN DS 38696 8 2 683D2D0ACB8C9B712A1948B27F741219298D0A450D612C483AF444A4C0FB2B16
. IN DNSKEY 257 3 8 (
AwEAAa96jeuknZlaeSrvyAJj6ZHv28hhOKkx3rLGXVaC6rXTsDc449/cidltpkyGwCJNnOAlFNKF2jB
osZBU5eeHspaQWOmOElZsjICMQMC3aeHbGiShvZsx4wMYSjH8e7Vrhbu6irwCzVBApESjbUdpWWmEnh
athWu1jo+siFUiRAAxm9qyJNg/wOZqqzL/dL/q8PkcRU5oUKEpUge71M3ej2/7CPqpdVwuMoTvoB+ZO
T4YeGyxMvHmbrxlFzGOHOijtzN+u1TQNatX2XBuzZNQ1K+s2CXkPIZo7s6JgZyvaBevYtxPvYLw4z9m
R7K2vaF18UYH9Z9GNUUeayffKC73PYc=
)
que pueden verificar en el sitio oficial de IANA en diversos formatos.
Además se estrenó un nuevo sistema operativo (coen-2.0.0) que permite controlar los HSM, que esta vez maneja los dos modelos al mismo tiempo (recuerden que a partir de este año, se comenzó a utilizar dispositivos Luna que será el reemplazo de los originales Keyper en el futuro). Aunque en esta ocasión no fue necesario firmar con los nuevos Luna, en las siguientes ceremonias serán utilizadas en paralelo, firmando con ambas al mismo tiempo. Esto será necesario hasta cuando se termine la rotación de la llave, en un par de años más. Luego de eso, ya se darán de baja las Keyper, y se seguirá solo con las Luna.
Una vez más, quería agradecer el tremendo trabajo de los oficiales “Root Zone KSK Operations Security”, Andrés y Aaron, que lograron programar una ceremonia impecable!