Zona raíz DNS

La zona raíz DNS es la zona DNS de nivel superior en el espacio de nombres jerárquico del Sistema de nombres de dominio (DNS) de Internet.

Antes del 1 de octubre de 2016, la zona raíz había sido supervisada por la Corporación de Internet para la Asignación de Nombres y Números (ICANN), que delega la administración a una subsidiaria que actúa como la Autoridad de Asignación de Números de Internet (IANA). Verisign proporciona los servicios de distribución. Antes de esto, la ICANN desempeñaba la responsabilidad de gestión bajo la supervisión de la Administración Nacional de Telecomunicaciones e Información (NTIA), una agencia del Departamento de Comercio de los Estados Unidos. La responsabilidad de supervisión pasó a la comunidad global de partes interesadas representada dentro de las estructuras de gobierno de la ICANN.

Una combinación de límites en la definición de DNS y en ciertos protocolos, a saber, el tamaño práctico de los paquetes del Protocolo de datagramas de usuario (UDP) no fragmentados, resultó en un máximo práctico de 13 direcciones de servidor de nombres raíz que se pueden acomodar en las respuestas de consulta de nombres de DNS.. Sin embargo, la zona raíz cuenta con el servicio de varios cientos de servidores en más de 130 ubicaciones en muchos países.

Inicialización del servicio DNS

La zona raíz de DNS está atendida por trece clústeres de servidores raíz autorizados para consultas a los dominios de nivel superior de Internet. Por lo tanto, cada resolución de nombres comienza con una consulta a un servidor raíz o utiliza información que alguna vez se obtuvo de un servidor raíz.

Los clústeres de servidores raíz tienen los nombres oficiales a.root-servers.net a m.root-servers.net. Para convertir estos nombres en direcciones, un solucionador de DNS primero debe encontrar un servidor autorizado para la zona net. Para evitar esta dependencia circular, se debe conocer la dirección de al menos un servidor raíz para iniciar el acceso al DNS. Para este propósito, los sistemas operativos o los servidores DNS o los paquetes de software de resolución suelen incluir un archivo con todas las direcciones de los servidores raíz DNS. Incluso si las direcciones IP de algunos servidores raíz cambian, se necesita al menos uno para recuperar la lista actual de todos los servidores de nombres. Este archivo de direcciones se llama named.cache en la implementación de referencia del servidor de nombres BIND. La versión oficial actual es distribuida por InterNIC de la ICANN.

Con la dirección de un único servidor raíz en funcionamiento, toda la demás información de DNS se puede descubrir de forma recursiva y se puede encontrar información sobre cualquier nombre de dominio.

Redundancia y diversidad

Los servidores DNS raíz son esenciales para el funcionamiento de Internet, ya que la mayoría de los servicios de Internet, como la World Wide Web y el correo electrónico, se basan en nombres de dominio. Los servidores DNS son puntos potenciales de falla para todo Internet. Por esta razón, se distribuyen múltiples servidores raíz en todo el mundo. El tamaño del paquete DNS de 512 octetos limita una respuesta DNS a trece direcciones, hasta que las extensiones de protocolo (ver Mecanismos de extensión para DNS) levantaron esta restricción. Si bien es posible incluir más entradas en un paquete de este tamaño al usar la compresión de etiquetas, se eligió trece como límite confiable. Desde la introducción de IPv6, el Protocolo de Internet sucesor de IPv4, las prácticas anteriores se están modificando y el espacio adicional se llena con servidores de nombres IPv6.

Los servidores de nombres raíz están alojados en varios sitios seguros con acceso de gran ancho de banda para adaptarse a la carga de tráfico. En un principio, todas estas instalaciones estaban ubicadas en los Estados Unidos; sin embargo, la distribución ha cambiado y este ya no es el caso. Por lo general, cada instalación de servidor DNS en un sitio determinado es un grupo de computadoras con enrutadores de equilibrio de carga. Una lista completa de servidores, sus ubicaciones y propiedades está disponible en https://root-servers.org/. Al 24 de junio de 2023, había 1708 servidores raíz en todo el mundo.

La tendencia moderna es utilizar el enrutamiento y el direccionamiento anycast para proporcionar resiliencia y equilibrio de carga en una amplia área geográfica. Por ejemplo, el servidor j.root-servers.net, mantenido por Verisign, está representado por 104 (a partir de enero de 2016) sistemas de servidores individuales ubicados en todo el mundo, que se pueden consultar mediante el direccionamiento anycast.

Administración

El contenido del archivo de la zona raíz de Internet es coordinado por una subsidiaria de ICANN que realiza las funciones de la Autoridad de Números Asignados de Internet (IANA). Verisign genera y distribuye el archivo de zona a los distintos operadores de servidores raíz.

En 1997, cuando se transfirió Internet del control del gobierno de EE. UU. a manos privadas, la NTIA ejerció la administración de la zona raíz. Un documento del Departamento de Comercio de 1998 indicó que la agencia estaba "comprometida con una transición que permitirá que el sector privado asuma el liderazgo en la gestión del DNS" para el año 2000, sin embargo, no se tomaron medidas para que la transición sucediera. En marzo de 2014, la NTIA anunció que cambiará su administración a una "comunidad global de partes interesadas".

Según el subsecretario de Comercio para Comunicaciones e Información, Lawrence E. Strickling, marzo de 2014 fue el momento adecuado para iniciar una transición del rol a la comunidad global de Internet. La medida se produjo después de la presión por las revelaciones de que Estados Unidos y sus aliados se habían involucrado en la vigilancia. Sin embargo, el presidente de la junta de ICANN negó que los dos estuvieran conectados y dijo que el proceso de transición había estado en curso durante mucho tiempo. El presidente de la ICANN, Fadi Chehadé, calificó la medida como histórica y dijo que la ICANN avanzará hacia el control de múltiples partes interesadas. Varias figuras prominentes en la historia de Internet, no afiliadas a ICANN, también aplaudieron la medida.

El anuncio de la NTIA no afectó de inmediato la forma en que la ICANN desempeña su función. El 11 de marzo de 2016, la NTIA anunció que había recibido una propuesta de plan para la transición de su función de administración sobre la zona raíz y que la revisaría en los próximos 90 días.

Se adoptó la propuesta y el contrato renovado de la ICANN para realizar la función de la IANA expiró el 30 de septiembre de 2016, lo que resultó en la transición de la responsabilidad de supervisión a la comunidad global de partes interesadas representada dentro de las estructuras de gobierno de la ICANN. Como componente del plan de transición, creó una nueva subsidiaria llamada Public Technical Identifiers (PTI) para realizar las funciones de la IANA, que incluyen la administración de la zona raíz del DNS.

Ficha de la zona raíz

Desde julio de 2010, la zona raíz se ha firmado con una firma DNSSEC, lo que proporciona un ancla de confianza única para el Sistema de nombres de dominio que, a su vez, se puede usar para proporcionar un ancla de confianza para otra infraestructura de clave pública (PKI). La sección DNSKEY de la zona raíz se vuelve a firmar periódicamente con la clave de firma de la clave de la zona raíz realizada de manera verificable frente a testigos en una ceremonia de firma de claves. El KSK2017 con ID 20326 es válido a partir de 2020.