<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Wingdings;

        panose-1:5 0 0 0 0 0 0 0 0 0;}

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:"Times New Roman \(Body CS\)";

        panose-1:2 11 6 4 2 2 2 2 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Calibri",sans-serif;}

span.EmailStyle20

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

/* List Definitions */

@list l0

        {mso-list-id:-1575418625;

        mso-list-type:simple;

        mso-list-template-ids:-1575418625;}

@list l0:level1

        {mso-level-suffix:space;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        margin-left:0in;

        text-indent:0in;}

@list l1

        {mso-list-id:551684939;

        mso-list-type:simple;

        mso-list-template-ids:551684939;}

@list l1:level1

        {mso-level-number-format:bullet;

        mso-level-text:;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        margin-left:21.0pt;

        text-indent:-21.0pt;

        tab-stops:21.0pt;

        font-family:Wingdings;}

ol

        {margin-bottom:0in;}

ul

        {margin-bottom:0in;}

--></style>

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal"><span style="color:#333333">Below (and attached) is the comment of ICANN’s Business Constituency (BC), on</span> the<span style="color:#333333">

</span>Proposal for Future Root Zone KSK Rollovers.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Understandably, the Root Zone KSK serves as the trust anchor for DNSSEC and is managed as part of the IANA functions, performed by ICANN through its affiliate, the Public Technical Identifiers (PTI).

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Having commented on 2-Apr-2018 on the need for a comprehensive KSK Rollover Plan, the BC is pleased with the detailed plan outlined in the Proposal, noting that:<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal" style="margin-left:.5in">1. A three-year rollover interval strikes a responsible balance between ensuring that procedures and software remain sufficiently agile to adopt new keys as they are commissioned.<o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoNormal" style="margin-left:.5in">2. A three-year rollover interval will also assist in developing institutional memory of all  participants in the process.<o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoNormal" style="margin-left:.5in">3. A new KSK should be generated well before it signs the zone and is published.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">We have some concern with risk associated with publication of the new KSK algorithm, which is 2-years before it is used. In this regard, we recommend that the recipients of the publication should be those that are most concerned with the

 KSK process and that a Memorandum of Understanding (MOU) be signed in this respect.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">On the KSK lifecycle, we observed that a fourth cycle might be missing and that is the Key

<b>Replication </b>process after the Key has been Created. We note that if the Key is Created and it is not Replicated, there can be no Signing, hence a proposed improvement in the lifecycle as follows:<o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>

<p class="MsoNormal" style="margin-left:.5in">Creation<o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><b>Replication<o:p></o:p></b></p>

<p class="MsoNormal" style="margin-left:.5in">Signing<o:p></o:p></p>

<p class="MsoNormal" style="margin-left:.5in">Destruction<o:p></o:p></p>

<p class="MsoNormal"><b><o:p> </o:p></b></p>

<p class="MsoNormal"><b>Endorsement of the 8 Distinct KSK Phases<o:p></o:p></b></p>

<p class="MsoNormal"><b><o:p> </o:p></b></p>

<p class="MsoNormal">KSK rollover refers to the process of switching the active KSK from one key to another, and includes pre-publication of the new key in a manner that allows it to be trusted, processing updates to the root zone trust anchor, introducing

 a new KSK in the root zone, and retiring the previous KSK.  As such, the BC endorses the retention of the eight distinct phases (A-H) which constitute the current approach. We further recommend that the need to keep to the phased timelines be a subject of

 the MOU earlier proposed for signature of concerned parties.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Finally, the BC appreciates the high level of transparency embedded in the process which includes third party audit; notes as currently safe the 2048-bit RSA keys that are used; and anticipates the continuation of the periodic community

 engagement process associated with the KSK Signing process.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="color:black">--</span><o:p></o:p></p>

<p class="MsoNormal"><span style="color:black">This comment was drafted by Jimson Olufuye</span> and w<span style="color:black">as approved in accord with our charter.</span><o:p></o:p></p>

<p class="MsoNormal"><span style="color:black"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="color:black">--</span><o:p></o:p></p>

<p class="MsoNormal"><span style="color:black">Steve DelBianco</span><o:p></o:p></p>

<p class="MsoNormal"><span style="color:black">Vice Chair for Policy Coordination</span><o:p></o:p></p>

<p class="MsoNormal"><span style="color:black">ICANN Business Constituency (BC) </span><o:p></o:p></p>

<p class="MsoNormal"><span style="color:black"> </span><o:p></o:p></p>

<p class="MsoNormal"><span style="color:black"> </span><o:p></o:p></p>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</body>

</html>