
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

Carlos,

<div class=""><br class="">

<div>

<blockquote type="cite" class="">

<div class="">On Sep 28, 2017, at 4:40 AM, Carlos Martinez &lt;<a href="mailto:carlos@lacnic.net" class="">carlos@lacnic.net</a>&gt; wrote:</div>

<br class="Apple-interchange-newline">

<div class=""><img class="cloudmagic-smart-beacon" src="https://tr.cloudmagic.com/h/v6/emailtag/tag/2.0/1506598830/96f2d3060286ecbab9150cfe7cb38c63/5/5a1d1bdee27635000a29d0998e569e78/af7c6f87f474137ab3951b0dcaa430d6/73804dc035dbd598f3854e8240569f3b/newton.gif" style="border:0; width:10px; height:10px;" width="10" height="10" align="right">

<div style="margin-top: 0px; margin-bottom: 0px;" class="">Thanks Matt,</div>

<br class="">

<div style="margin-top: 0px; margin-bottom: 0px;" class="">Can I share this information with the Spanish-speaking mailing lists?</div>

</div>

</blockquote>

<div><br class="">

</div>

<div>Yes, definitely. Thank you!</div>

<div><br class="">

</div>

<div>I also just sent an email to DNS-OARC's dns-operations list that might be a better starting point for translation. That message is below.</div>

<div><br class="">

</div>

<div>Matt</div>

<div><br class="">

</div>

<div><br class="">

</div>

<div><br class="">

<blockquote type="cite" class="">

<div class="">Begin forwarded message:</div>

<br class="Apple-interchange-newline">

<div style="margin: 0px;" class=""><span style="font-family: -webkit-system-font, 'Helvetica Neue', Helvetica, sans-serif;" class=""><b class="">From:&nbsp;</b></span><span style="font-family: -webkit-system-font, 'Helvetica Neue', Helvetica, sans-serif;" class="">Matt

 Larson &lt;<a href="mailto:matt.larson@icann.org" class="">matt.larson@icann.org</a>&gt;<br class="">

</span></div>

<div style="margin: 0px;" class=""><span style="font-family: -webkit-system-font, 'Helvetica Neue', Helvetica, sans-serif;" class=""><b class="">Subject:&nbsp;</b></span><span style="font-family: -webkit-system-font, 'Helvetica Neue', Helvetica, sans-serif;" class=""><b class="">Root

 KSK roll delayed</b><br class="">

</span></div>

<div style="margin: 0px;" class=""><span style="font-family: -webkit-system-font, 'Helvetica Neue', Helvetica, sans-serif;" class=""><b class="">Date:&nbsp;</b></span><span style="font-family: -webkit-system-font, 'Helvetica Neue', Helvetica, sans-serif;" class="">September

 28, 2017 at 9:47:14 AM PDT<br class="">

</span></div>

<div style="margin: 0px;" class=""><span style="font-family: -webkit-system-font, 'Helvetica Neue', Helvetica, sans-serif;" class=""><b class="">To:&nbsp;</b></span><span style="font-family: -webkit-system-font, 'Helvetica Neue', Helvetica, sans-serif;" class="">dns-operations

 &lt;<a href="mailto:dns-operations@dns-oarc.net" class="">dns-operations@dns-oarc.net</a>&gt;<br class="">

</span></div>

<br class="">

<div class="">ICANN has decided to postpone the root KSK roll previously scheduled for 11 October 2017 for at least one quarter. This message gives some background and explanation for that decision.<br class="">

<br class="">

Historically there has been no way to determine which trust anchors DNSSEC validators have configured, making it difficult to assess the potential impact of the root KSK rollover. &quot;Signaling Trust Anchor Knowledge in DNS Security Extensions (DNSSEC)&quot; (defined

 in RFC 8145) is a recent protocol extension that allows a validator to report which trust anchors it has configured for a zone to that zone's name servers. The protocol was only finalized in April, 2017, and only the most recent versions of BIND (9.10.5b1

 and 9.11.0b3 and later) and Unbound (1.6.4 and later) support it. This protocol was not expected to have sufficient deployment to provide useful information for the first root KSK rollover.<br class="">

<br class="">

However, initial research by Verisign and then by ICANN has found a growing number of validators reporting trust anchor configuration to the root servers. Based on data from six root server addresses, approximately 12,000 unique source IP addresses have sent

 trust anchor configuration reports so far in September 2017. The number reporting is growing and now approaches 1400 unique addresses per day. Significantly, approximately 5% of the total validators and about 6%-8% on any given day report only KSK-2010, the

 root zone KSK currently signing the root's DNSKEY RRset. These validators would not resolve correctly after the planned root KSK roll.<br class="">

<br class="">

There are various reasons a validator might report only KSK-2010. One reason is an old configuration with a statically configured trust anchor (e.g., BIND's &quot;trusted-key&quot; statement). ICANN has always known that a small percentage of validators would not be

 ready for the rollover because they had manually configured their trust anchor, and that operators of those validators would need to take action when the root KSK rollover happened.<br class="">

<br class="">

Another reason is a failure to automatically update the trust anchor using the RFC 5011 automated update protocol because of a software defect, operator error or other reason. Based on our research and preliminary investigation, we also believe it is possible

 that some operators believe that they are ready for the rollover because they configured their validator to use RFC 5011 automated updates, but will not trust KSK-2017 when the rollover happens due to configuration issues or software defects.<br class="">

<br class="">

Given the relatively high percentage of validators with just KSK-2010, ICANN believes it is important to better understand the reasons before proceeding with the root KSK roll. We will soon be publishing the list of resolvers reporting only KSK-2010 and will

 ask for the operational community's help in identifying, diagnosing and correcting these systems.<br class="">

<br class="">

Throughout the project we have emphasized that the root KSK is being rolled under normal operational conditions and have proceeded cautiously and without haste. The decision to postpone was taken in that spirit of caution because there is no operational pressure

 to proceed given our continued confidence in the security of KSK-2010.<br class="">

<br class="">

We appreciate the community's understanding and we look forward to your assistance in gathering the information necessary to move forward with the root KSK roll.<br class="">

<br class="">

Matt<br class="">

--<br class="">

Matt Larson, VP of Research<br class="">

ICANN Office of the CTO<br class="">

<br class="">

</div>

</blockquote>

</div>

</div>

</div>

</body>

</html>