stringtranslate.com

Zona raíz de DNS

La zona raíz del DNS es la zona DNS de nivel superior en el espacio de nombres jerárquico del Sistema de nombres de dominio (DNS) de Internet.

Antes del 1 de octubre de 2016, la zona raíz había sido supervisada por la Corporación de Internet para la Asignación de Nombres y Números (ICANN), que delega la gestión a una subsidiaria que actúa como Autoridad de Números Asignados en Internet (IANA). [1] Los servicios de distribución son proporcionados por Verisign . Antes de esto, la ICANN desempeñaba la responsabilidad de gestión bajo la supervisión de la Administración Nacional de Telecomunicaciones e Información (NTIA), una agencia del Departamento de Comercio de los Estados Unidos . [2] La responsabilidad de supervisión pasó a la comunidad global de partes interesadas representadas dentro de las estructuras de gobernanza de la ICANN.

Una combinación de límites en la definición de DNS y en ciertos protocolos, a saber, el tamaño práctico de los paquetes de Protocolo de datagramas de usuario [2] (UDP) no fragmentados, dio como resultado un máximo práctico de 13 direcciones de servidor de nombres raíz que se pueden incluir en las respuestas de consultas de nombres DNS. Sin embargo, la zona raíz recibe servicio de varios cientos de servidores en más de 130 ubicaciones en muchos países. [3] [4]

Inicialización del servicio DNS

La zona raíz del DNS está atendida por trece grupos de servidores raíz que son autorizados para realizar consultas a los dominios de nivel superior de Internet. [5] [6] Por lo tanto, cada resolución de nombre comienza con una consulta a un servidor raíz o utiliza información que alguna vez se obtuvo de un servidor raíz.

Los clústeres de servidores raíz tienen los nombres oficiales a.root-servers.net a m.root-servers.net . [6] Para resolver estos nombres en direcciones, un solucionador DNS debe primero encontrar un servidor autorizado para la zona de red . Para evitar esta dependencia circular , se debe conocer la dirección de al menos un servidor raíz para el acceso de arranque al DNS. Para este propósito, los sistemas operativos o servidores DNS o paquetes de software de solucionador suelen incluir un archivo con todas las direcciones de los servidores raíz DNS. Incluso si las direcciones IP de algunos servidores raíz cambian, se necesita al menos uno para recuperar la lista actual de todos los servidores de nombres. Este archivo de direcciones se llama named.cache en la implementación de referencia de servidores de nombres BIND . La versión oficial actual es distribuida por InterNIC de ICANN . [7]

Con la dirección de un único servidor raíz en funcionamiento, se puede descubrir de forma recursiva toda la demás información de DNS y se puede encontrar información sobre cualquier nombre de dominio.

Redundancia y diversidad

Los servidores DNS raíz son esenciales para el funcionamiento de Internet, ya que la mayoría de los servicios de Internet, como la World Wide Web y el correo electrónico, se basan en nombres de dominio. Los servidores DNS son puntos potenciales de fallo para toda Internet. Por este motivo, se distribuyen varios servidores raíz por todo el mundo. [8] El tamaño de paquete DNS de 512 octetos limita una respuesta DNS a trece direcciones, hasta que las extensiones de protocolo ( consulte Mecanismos de extensión para DNS ) eliminaron esta restricción. [9] Si bien es posible incluir más entradas en un paquete de este tamaño cuando se utiliza la compresión de etiquetas, se eligió trece como un límite confiable. Desde la introducción de IPv6 , el protocolo de Internet sucesor de IPv4 , las prácticas anteriores se están modificando y el espacio adicional se llena con servidores de nombres IPv6.

Los servidores de nombres raíz se alojan en varios sitios seguros con acceso de gran ancho de banda para adaptarse a la carga de tráfico. Al principio, todas estas instalaciones estaban ubicadas en los Estados Unidos; sin embargo, la distribución ha cambiado y este ya no es el caso. [10] Por lo general, cada instalación de servidor DNS en un sitio determinado es un clúster de computadoras con enrutadores de equilibrio de carga. [9] Una lista completa de servidores, sus ubicaciones y propiedades está disponible en https://root-servers.org/. Al 24 de junio de 2023 , había 1708 servidores raíz en todo el mundo. [11]

La tendencia moderna es utilizar el direccionamiento y enrutamiento anycast para proporcionar resiliencia y equilibrio de carga en una amplia área geográfica. Por ejemplo, el servidor j.root-servers.net , mantenido por Verisign , está representado por 104 (a enero de 2016 ) sistemas de servidores individuales ubicados en todo el mundo, a los que se puede consultar mediante el direccionamiento anycast. [12]

Gestión

El contenido del archivo de la zona raíz de Internet está coordinado por una subsidiaria de ICANN que realiza las funciones de la Autoridad de Números Asignados de Internet (IANA). Verisign genera y distribuye el archivo de zona a los distintos operadores de servidores raíz.

En 1997, cuando Internet pasó del control del gobierno estadounidense a manos privadas, la NTIA ejerció la administración de la zona raíz. Un documento del Departamento de Comercio de 1998 afirmaba que la agencia estaba "comprometida con una transición que permitirá al sector privado asumir el liderazgo en la gestión del DNS" para el año 2000, sin embargo, no se tomaron medidas para que la transición se hiciera realidad. En marzo de 2014, la NTIA anunció que transferiría su administración a una "comunidad global de partes interesadas". [5]

Según el subsecretario de Comercio para las Comunicaciones y la Información, Lawrence E. Strickling, marzo de 2014 fue el momento adecuado para iniciar una transición de la función a la comunidad global de Internet. La medida se tomó después de la presión que se generó tras las revelaciones de que Estados Unidos y sus aliados habían participado en actividades de vigilancia. Sin embargo, el presidente de la junta directiva de la ICANN negó que ambas cosas estuvieran relacionadas y dijo que el proceso de transición había estado en marcha durante mucho tiempo. El presidente de la ICANN, Fadi Chehadé, calificó la medida de histórica y dijo que la ICANN avanzaría hacia un control de múltiples partes interesadas. Varias figuras prominentes en la historia de Internet no afiliadas a la ICANN también aplaudieron la medida. [5]

El anuncio de la NTIA no afectó inmediatamente la forma en que la ICANN desempeña su función. [5] [13] El 11 de marzo de 2016, la NTIA anunció que había recibido un plan propuesto para transferir su función de administración de la zona raíz y que lo revisaría en los próximos 90 días. [14]

La propuesta fue adoptada y el contrato renovado de la ICANN para realizar la función de la IANA caducó el 30 de septiembre de 2016, lo que dio como resultado la transferencia de la responsabilidad de supervisión a la comunidad global de partes interesadas representadas dentro de las estructuras de gobernanza de la ICANN. Como componente del plan de transición, [15] creó una nueva subsidiaria llamada Identificadores Técnicos Públicos (PTI) para realizar las funciones de la IANA, que incluyen la gestión de la zona raíz del DNS.

Protección de datos de la zona raíz

Firma de la zona raíz

Desde julio de 2010, la zona raíz se ha firmado con una firma DNSSEC , [16] proporcionando un ancla de confianza única para el Sistema de nombres de dominio que a su vez se puede utilizar para proporcionar un ancla de confianza para otra infraestructura de clave pública (PKI). La sección DNSKEY de la zona raíz se vuelve a firmar periódicamente con la clave de firma de la clave de la zona raíz realizada de manera verificable frente a testigos en una ceremonia de firma de clave . [17] [18] La KSK2017 con ID 20326 es válida a partir de 2020.

Registro ZONEMD

Si bien el archivo de la zona raíz está firmado con DNSSEC, algunos registros DNS, como los registros NS, no están cubiertos por las firmas DNSSEC. Para abordar esta debilidad, se introdujo un nuevo registro de recursos DNS, llamado ZONEMD, en RFC 8976. ZONEMD no reemplaza a DNSSEC. ZONEMD y DNSSEC deben usarse juntos para garantizar la protección completa del archivo de la zona raíz DNS. [19] [20]

La implementación de ZONEMD para la zona raíz de DNS se completó el 6 de diciembre de 2023. [21]

DNS sobre TLS

Los servidores DNS B-Root ofrecen soporte experimental para DNS sobre TLS (DoT) en el puerto 853. [22]

Véase también

Referencias

  1. ^ "La administración de las funciones de la IANA pasa a manos de la comunidad global de Internet al finalizar el contrato con el gobierno de Estados Unidos". 1 de octubre de 2016. Consultado el 25 de diciembre de 2017 .
  2. ^ de Jerry Brito (5 de marzo de 2011). "ICANN vs. el mundo". Time .
  3. ^ "No hay 13 servidores raíz". www.icann.org . Consultado el 18 de enero de 2018 .
  4. ^ "Servidores raíz DNS en el mundo « stupid.domain.name». stupid.domain.name . Archivado desde el original el 11 de febrero de 2021. Consultado el 18 de enero de 2018 .
  5. ^ abcd Farivar, Cyrus (14 de marzo de 2014). "En un anuncio repentino, Estados Unidos cederá el control de la zona raíz del DNS". Ars Technica . Consultado el 15 de marzo de 2014 .
  6. ^ ab "Root Servers". IANA . Consultado el 17 de enero de 2020 .
  7. ^ "named.cache". InterNIC. 17 de noviembre de 2015. Consultado el 17 de noviembre de 2015 .
  8. ^ "Sala de lectura de seguridad de la información del Instituto SANS". SANS . Consultado el 17 de marzo de 2014 .
  9. ^ ab Bradley Mitchell (19 de noviembre de 2008). "Why There Are Only 13 DNS Root Name Servers" (Por qué sólo hay 13 servidores de nombres raíz DNS). About.com . Archivado desde el original el 18 de marzo de 2014. Consultado el 17 de marzo de 2014 .
  10. ^ "Servidores raíz DNS: la infraestructura más crítica de Internet". Slash Root. 15 de noviembre de 2013.
  11. ^ "Root Servers Technical Operations Assn". Archivado desde el original el 24 de junio de 2023. Consultado el 29 de junio de 2023 .
  12. ^ "Asociación de Operaciones Técnicas del Servidor Raíz".
  13. ^ "Actualización sobre la transición de la IANA". Administración Nacional de Telecomunicaciones e Información. 17 de agosto de 2015. Consultado el 17 de noviembre de 2015 .
  14. ^ Strickling, Lawrence. "Revisión de la propuesta de transición de la IANA". Administración Nacional de Telecomunicaciones e Información . Departamento del Congreso de los Estados Unidos . Consultado el 26 de mayo de 2016 .
  15. ^ "Propuesta para la transición de la administración de las funciones de la Autoridad de Números Asignados en Internet (IANA) de la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de los Estados Unidos a la comunidad global de múltiples partes interesadas" (PDF) . Marzo de 2016.
  16. ^ "DNSSEC raíz: información sobre DNSSEC para la zona raíz". Internet Corporation For Assigned Names and Numbers . Consultado el 19 de marzo de 2014 .
  17. ^ "Primera Ceremonia de la KSK". Internet Corporation For Assigned Names and Numbers. 18 de abril de 2010. Archivado desde el original el 14 de abril de 2015. Consultado el 19 de octubre de 2014 .
  18. ^ "Ceremonias de la KSK raíz". Autoridad de Números Asignados de Internet. 12 de noviembre de 2015. Consultado el 17 de noviembre de 2015 .
  19. ^ Wessels, Duane (18 de abril de 2023). "Adición de protecciones ZONEMD a la zona raíz". Blog de Verisign .
  20. ^ D. Wessels; P. Barber; M. Weinberg; W. Kumari; W. Hardaker (febrero de 2021). «Resumen de mensajes RFC 8976 para zonas DNS» . Consultado el 10 de marzo de 2024 .
  21. ^ Wessels, Duane (6 de diciembre de 2023). «[dns-operations] Anuncio operativo de la zona raíz: presentación de ZONEMD para la zona raíz» . Consultado el 10 de marzo de 2024 .
  22. ^ "B-Root ofrece soporte experimental para DNS sobre TLS".

Lectura adicional

Enlaces externos