Hola.
ICANN publicó una propuesta para los futuros rollovers de la KSK
de la raíz. Considera hacerlo cada 3 años y prepublicarla 2 años
antes.
Los 3 años me parecen un buen compromiso entre la gente que
considera que debe hacerse muy seguido, para darle normalidad; y
darle tiempo a los softwares y OS de sacar nuevos releases con la
nueva llave.
Lo de la prepublicación parecería exagerado si uno piensa que
es solo para dar tiempo al RFC5011, pero bajo el argumento de
usarla como "backup" en caso de compromiso de la llave actual,
cobra un nuevo sentido. Supongo que el miedo por el aumento de
tamaño del DNSKEY ya no tiene mucho sentido, después que el
rollover del año pasado estuvo pospuesto por 1 año con las
llaves viviendo 14 meses en la raíz, sin errores importantes
que hubiéramos notado!
Saludos,
Hugo