<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"><meta http-equiv="Content-Type" content="text/html charset=us-ascii"><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class="">On Friday, July 22, </font><span class="">in the interests of transparency and to notify the DNS operational community,</span><font face="HelveticaNeue" class=""> ICANN posted </font><a href="https://www.icann.org/resources/pages/ksk-rollover#operational-plans" class="">plans</a><font face="HelveticaNeue" class=""> to roll the root zone key signing key (KSK).  </font><font face="HelveticaNeue" class="">These plans were developed by the Root Zone Management Partners: ICANN in its role as the IANA Functions Operator, Verisign acting as the Root Zone Maintainer, and the U.S. Department of Commerce's National Telecommunications and Information Administration (NTIA) as the Root Zone Administrator.  The plans incorporate the </font><a href="https://www.iana.org/reports/2016/root-ksk-rollover-design-20160307.pdf" class="">March 2016 recommendations</a><font face="HelveticaNeue" class=""> of the Root Zone KSK Rollover Design Team, after it sought and considered </font><a href="https://www.icann.org/news/announcement-2013-03-08-en" class="">public comment</a><font face="HelveticaNeue" class=""> on a proposed rollover process.</font></div><div class="" style="font-family: HelveticaNeue;"><span class=""><br class=""></span></div><div class="" style="font-family: HelveticaNeue;"><span class="">The process of creating a new key, using it to sign the root DNSKEY RRset and securely destroying the old key will start in Q4 2016 and last until Q3 2018, though the portions resulting in visible changes in DNS occur between Q3 2017 and Q1 2018.  The important milestones in the project are:</span></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class=""><br class=""></font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class="">- October 26, 2016: The new KSK is generated in ICANN's U.S. East Coast key management facility (KMF).</font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class="">- February, 2017: The new KSK is copied to ICANN's U.S. West Coast KMF and is considered operationally ready, and ICANN publishes the new key at </font><a href="https://data.iana.org/root-anchors/root-anchors.xml" class="">https://data.iana.org/root-anchors/root-anchors.xml</a><span class="">.  (The exact date is dependent on the timing of the Q1 2017 key ceremony, which has not yet been scheduled.)</span></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class="">- July 11, 2017: The new KSK appears in the root DNSKEY RRset for the first time.</font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class="">- October 11, 2017: The new KSK signs the root DNSKEY RRset (and the old KSK no longer signs).  <i class="">This date is the actual KSK rollover.</i></font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class="">- January 11, 2018: The old KSK is published as revoked (per RFC 5011, "Automated Updates of DNS Security").</font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class=""><br class=""></font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class=""><b class="">What you need to do</b></font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class=""><b class=""><br class=""></b></font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class="">If you operate any software performing DNSSEC validation (such as a security-aware recursive name server) that implements the RFC 5011 automated trust anchor update protocol and this functionality is enabled, you have no action: your software will notice the new KSK (authenticated by the old KSK) and update its trust anchor store accordingly.</font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class=""><br class=""></font></div><div class="" style="font-family: HelveticaNeue;"><span class="">If you operate any software performing DNSSEC validation that does not implement RFC 5011 or if you don't use the RFC 5011 protocol, you will need to update your software's trust anchor configuration manually to add the new KSK <b class="">before October 11, 2017</b>.  You can obtain the new KSK in February, 2017, using one of the methods described in the "Trust Anchor Publication" section of</span><span class=""> </span><a href="https://www.icann.org/en/system/files/files/ksk-rollover-operational-implementation-plan-22jul16-en.pdf" class="">2017 KSK Rollover Operational Implementation Plan</a><span class=""> (one of the aforementioned recently published plans).</span></div><div class="" style="font-family: HelveticaNeue;"><span class=""><br class=""></span></div><div class="" style="font-family: HelveticaNeue;"><span class="">If you write, package or distribute software that performs DNSSEC validation and you hard code the root KSK (e.g., in code or configuration files), you should update your software with the new KSK when it becomes available in February, 2017.</span></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class=""><br class=""></font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class=""><b class="">Staying informed</b></font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class=""><b class=""><br class=""></b></font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class="">ICANN will post occasional notices to various operational forums to keep the community informed of this project's progress, but we strongly suggest that anyone with an interest subscribe to the </font><a href="https://mm.icann.org/mailman/listinfo/ksk-rollover" class="">root KSK rollover mailing list</a><font face="HelveticaNeue" class=""> operated by ICANN (<a href="mailto:ksk-rollover@icann.org" class="">ksk-rollover@icann.org</a>).  The list is extremely low volume.</font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class=""><br class=""></font></div><div class="" style="font-family: HelveticaNeue;"><font face="HelveticaNeue" class="">The ICANN staff supporting and implementing the root KSK rollover project welcome your questions and comments: please direct them to the <a href="mailto:ksk-rollover@icann.org" class="">ksk-rollover@icann.org</a> list.</font></div><div class="" style="font-family: HelveticaNeue;"><br class=""></div><div class="" style="font-family: HelveticaNeue;">Matt</div><div class="" style="font-family: HelveticaNeue;">--</div><span class="" style="font-family: HelveticaNeue;">Matt Larson</span><br class="" style="font-family: HelveticaNeue;"><span class="" style="font-family: HelveticaNeue;">VP of Research</span><br class="" style="font-family: HelveticaNeue;"><span class="" style="font-family: HelveticaNeue;">Office of the CTO, ICANN</span><div class=""><span class="" style="font-family: HelveticaNeue;"><br class=""></span></div></body></html>