No último dia 16 de setembro, a Diretoria da Corporação para Atribuição de Nomes e Números da Internet (ICANN) aprovou a alteração da chave criptográfica que ajuda a proteger o DNS (Sistema de Nomes de Domínio), o diretório de endereços da Internet. Os planos de alterar ou substituir (roll) a chave da raiz do DNS ocorre em 11 de outubro de 2018. Será a primeira vez que a chave passará por uma substituição desde que foi implantada, pela primeira vez, em 2010. A implementação estava originalmente planejada para 11 de outubro de 2017, mas foi adiada devido ao recebimento de dados imprecisos um pouco antes dessa data. Segundo a ICANN, alguns usuários da Internet podem ser afetados se os operadores de redes ou os provedores de serviços de internet (ISPs, na sigla em inglês) não se prepararem para a substituição. Os operadores que habilitaram a verificação da informação das extensões da Segurança para o Sistema de Nomes de Domínio ou DNSSEC (conjunto de protocolos de segurança utilizado para garantir que a segurança das informações do DNS não seja corrompida de forma acidental ou maliciosa) são aqueles que devem ter certeza de estar preparados para a substituição. No momento, diz a ICANN, existe um número pequeno de DNSSEC (Domain Name System Security Extensions, Extensões de Segurança do Sistema de Nomes de Domínio) que validam resolvedores recursivos que estão configurados incorretamente; e alguns dos usuários que dependem desses resolvedores terão problemas. Este documento descreve quais usuários terão problemas e, entre eles, que tipos de erros eles verão em diversas situações. A ICANN preparou um documento para ajudar operadores de resolvedores com validação que querem saber o que esperar após a implementação. A zona raiz do DNS tem dois tipos de chaves: as ZSKs (Zone-Signing Keys, Chaves de Assinatura de Zona), que assinam os dados principais na zona raiz; e as KSKs (Key Signing Keys, Chaves de Assinatura de Chave), que assinam apenas o conjunto de chaves da raiz (ZSKs e KSKs) na zona raiz. Uma nova ZSK é publicada a cada três meses. Cada nova ZSK é assinada por uma KSK mais antiga.A implementação ocorre quando a KSK da raiz é alterada e essa nova KSK começa a assinar o conjunto de chaves da raiz para a zona. No momento da implementação, a KSK original será aposentada e a nova KSK começará a ser usada. A primeira KSK é chamada de KSK-2010 (ainda em uso). A nova KSK é chamada de KSK-2017. Após a implementação, a KSK-2010 não assinará mais o conjunto de chaves da raiz, e a KSK-2017 começará a assinar o conjunto de chaves da raiz. Os resolvedores que estão preparados para a implementação já têm a KSK-2017 configurada como âncora de confiança. Quando a implementação for executada, esses resolvedores continuarão funcionando da mesma forma que antes da implementação, porque a nova KSK da raiz já é confiada para assinar o conjunto de chaves da raiz. Se um resolvedor tiver apenas a KSK-2010 configurada como âncora de confiança, após a implementação, esse resolvedor começará a apresentar erros na validação de respostas recebidas dos servidores autoritativos. No entanto, é impossível prever quando essa falha começará a ocorrer. É possível saber se o sistema possui a nova KSK por meio deste site (aqui), que também explica como checar a cada um dos softwares de resolução de DNS mais populares (BIND, Unbound, PowerDNS, etc).  Para atualizar a KSK no sistema existem duas opções. O ideal é atualizar o software de DNS para a última versão. Elas fazem a atualização da KSK automaticamente. Se não for possível atualizar a versão do software, pode-se configurar a nova KSK manualmente. O passo a passo para ambas opções é explicado aqui. De acordo com Daniel Fink, da ICANN Brasil, assim que os operadores descobrirem que a validação de DNSSEC está apresentando falhas, eles devem alterar a configuração do resolvedor para desativar temporariamente a validação de DNSSEC. Isso resolverá o problema imediatamente. Depois, o operador deverá instalar, assim que possível, a KSK-2017 como âncora de confiança e ativar a validação de DNSSEC novamente, explica.