ICANN anuncia a implementação de uma nova rodada de atualizações críticas de segurança do DNS global plan

A Corporação da Internet para Atribuição de Nomes e Números (ICANN) anunciou hoje que substituirá a âncora de confiança do Sistema de Nomes de Domínio (DNS) em 11 de outubro de 2026. Essa mudança é chamada de “rotação de chave” (rollover) e é considerada um passo importante para manter a segurança, estabilidade e resiliência de longo prazo do DNS.

O nome oficial da âncora de confiança é chave de assinatura de chave (KSK) da zona raiz das Extensões de Segurança DNS (DNSSEC). Esta chave de criptografia está no centro do sistema de confiança DNSSEC e é usada para verificar se as respostas DNS não foram adulteradas durante a transmissão, ajudando a garantir que os usuários da Internet recebam dados DNS autênticos e confiáveis ao acessar sites e serviços online. Esta rotação substituirá a chave existente por uma nova KSK para continuar a manter uma forte proteção de segurança criptográfica para o sistema DNS global.

A ICANN gerencia a zona raiz do DNS por meio de sua função IANA e coordena essa rotação de âncoras de confiança em parceria com a comunidade global da Internet. A ICANN declarou que lançará a nova KSK com bastante antecedência para que os operadores relevantes tenham tempo suficiente para atualizar o sistema e verificar se o mecanismo automático de atualização da âncora de confiança está funcionando corretamente, minimizando assim o risco de interrupção dos serviços de rede. Kim Davies, vice-presidente de serviços da IANA da ICANN e presidente de identificadores técnicos públicos (PTI), chamou essa rotação de âncora de confiança de "um processo cuidadosamente coordenado que ajuda a proteger a integridade do DNS" e lembrou aos operadores de software DNS que confirmem se o sistema está corretamente configurado para confiar nas novas chaves antes da rotação. A ICANN enfatizou que a maioria dos usuários comuns da Internet não experimentará mudanças significativas no uso diário, mas é crucial que os operadores de software de resolução de DNS concluam os preparativos técnicos com antecedência.

De acordo com o cronograma anunciado pela ICANN, esta rotação será implementada em fases, começando em 2024 e continuando até o final de 2027. Durante este período, a KSK atual e a próxima geração permanecerão válidas simultaneamente, deixando tempo de transição suficiente para vários analisadores recursivos. Esses resolvedores recursivos são normalmente operados por provedores de serviços de Internet, empresas e outras organizações e são responsáveis por consultar e validar informações de DNS em nome dos usuários finais. De acordo com o plano, a nova KSK começará a assinar a zona raiz em outubro de 2026, e a chave antiga será oficialmente aposentada em janeiro de 2027. A ICANN destacou que este desenho de transição visa garantir que operadores de diferentes tamanhos e diferentes condições técnicas possam concluir a adaptação dentro da janela estabelecida para evitar falhas de resolução em grande escala.

A ICANN lembra especificamente aos operadores de resolvedores recursivos com recursos de validação, especialmente aqueles que ainda usam âncoras de confiança configuradas manualmente ou que executam versões de software mais antigas, que realizem uma revisão abrangente de seus sistemas o mais rápido possível para confirmar se estão prontos para essa rotação. A ICANN alertou que se os sistemas relevantes não atualizarem as âncoras de confiança a tempo, a falha na resolução do DNS poderá ocorrer após a data de rotação, resultando na impossibilidade de os usuários acessarem alguns sites ou serviços online. Para mitigar os riscos acima, os operadores são aconselhados a testar o seu mecanismo automático de atualização da âncora de confiança ou, se necessário, importar manualmente a nova KSK para garantir que todas as etapas críticas sejam concluídas antes que a nova chave seja ativada.

Para obter mais informações sobre esta substituição da KSK, incluindo diretrizes operacionais e recursos técnicos, a ICANN criou uma página dedicada "Página de informações sobre a transferência da KSK da ICANN" em seu site oficial para fornecer instruções detalhadas e materiais de apoio à comunidade global de operação do DNS. A ICANN apela a todos os tipos de operadores de infra-estruturas de rede para que prestem activamente atenção aos últimos anúncios, participem na colaboração da comunidade e cooperem para concluir este projecto-chave que é considerado como "a próxima grande actualização de segurança da Internet".