ICANN anunciou seu plano de prosseguir com o DNSSEC KSK Roll em 11 de outubro de 2018, o que resultará na substituição do KSK-2017 pelo KSK-2010. Essa mudança faz parte das práticas recomendadas de segurança da ICANN para gerenciar a chave raiz para a infraestrutura DNSSEC.
O novo KSK-2017 já foi publicado na zona raiz (.) Desde julho de 2017. É importante para qualquer operadora que mantém ou fornece um serviço de resolução de DNS se certificar de que seus resolvedores têm a chave confiável apropriada. Isso é para garantir que os nomes de domínio assinados por DNSSEC continuem a ser validados após a substituição. A falha em garantir a configuração da chave raiz adequada interromperá a validação do DNSSEC.
Existem duas maneiras de atualizar sua configuração de DNS Resolver
(1) usando atualizações automáticas: os resolvedores habilitados para RFC 5011 atualizarão automaticamente a chave raiz confiável no momento apropriado
(2) manualmente: os operadores devem baixar a nova chave e configurar seus resolvedores manualmente, isso deve ser feito antes de 11 de outubro de 2018.
Também é importante certificar-se de que qualquer software de validação DNSSEC incorporado tenha a chave apropriada antes que o novo KSK-2017 seja colocado em uso.
AFRINIC publicou duas postagens de blog sobre o tópico: DNSSEC Nova zona raiz KSK aparece no DNShttps://www.afrinic.net/blog/265-dnssec-new-root-zone-ksk-appears-on-the-dns>
Fique atento ao rollover de DNSSEC em outubrohttps://www.afrinic.net/blog/357-11-october-2018-dnssec-ksk-rollover-flag-day
Se você tiver alguma dúvida ou precisar de esclarecimentos sobre o assunto, envie um e-mail para com “KSK Rollover” na linha de assunto. Alternativamente, você pode entrar em contato com a AFRINIC em .