Resumo
- No RPKI delegado, um detentor de recursos opera uma autoridade certificadora subordinada e controla sua chave privada. A RIR pai continua certificando o escopo de recursos do detentor e pode substituir ou revogar o certificado subordinado de acordo com as regras aplicáveis. O gerenciamento de chaves é uma separação de tarefas, não independência da hierarquia de alocação.
- Os padrões dividem o sistema em relacionamentos gerenciáveis. A RFC 6492 oferece suporte ao provisionamento entre pai e filho; a RFC 8181 permite a publicação por um serviço separado da CA signatária; os padrões de troca de certificados e chaves apoiam a continuidade. A interoperabilidade é crucial, pois uma autonomia vinculada a um cliente proprietário é frágil.
- Uma opção formal de serviço não é necessariamente um direito utilizável. Elegibilidade, contratos, autoridade de conta, conformidade de software, acesso de publicação, instalações de teste, suporte, custos e documentação determinam se um operador pode exercer a delegação na prática.
- A migração é o teste decisivo. As atuais regras regionais diferem: algumas transições documentadas permitem sobreposição de serviços hospedados e auto-operados, enquanto outra exige a revogação da CA hospedada antes de criar uma delegada. Uma escolha que só pode ser exercida por meio de uma interrupção evitável é uma escolha fraca.
- Reter a chave traz responsabilidades. O operador delegado deve proteger o material de assinatura, emitir manifestos e listas de revogação atualizados, manter a publicação, monitorar a validação externa, preservar o acesso para sucessores e responder a comprometimentos. A delegação não deve transferir responsabilidade sem fornecer ferramentas utilizáveis e suporte.
- A publicação híbrida pode separar o gerenciamento de chaves da disponibilidade do repositório. Muitas vezes dá aos operadores um controle de assinatura significativo sem que todos precisem operar um repositório global, mas preserva a dependência do pai ou do provedor de publicação e, portanto, precisa de condições claras de serviço e saída.
- Escolha sem penalidades significa mais do que preços iguais. Usuários delegados devem manter elegibilidade equivalente, informações, acesso a incidentes, revisão, assistência de migração e status de associação. Os provedores podem cobrar taxas transparentes baseadas em custos ou impor regras de segurança neutras, mas não devem transformar a autogestão em um status institucional inferior.
- A Number Resource Society pode ajudar com uma matriz de direitos e deveres, exercícios de conformidade, simulações de migração e representação de membros baseada em evidências. Ela não deve comercializar a posse de uma chave privada como propriedade do recurso ou imunidade contra ações legítimas do pai.
A cerimônia prova quem segura a chave, não quem possui toda a autoridade
Uma equipe de segurança de rede instala um software de autoridade certificadora em uma infraestrutura que controla. O software gera um par de chaves localmente. A chave privada não sai da organização. A equipe exporta uma solicitação filho, envia-a ao seu Registro Regional da Internet, recebe uma resposta pai e completa o relacionamento. A CA subordinada solicita um certificado de recurso, cria Autorizações de Origem de Rota e publica objetos assinados.
Este é o RPKI delegado em sua forma mais legível. O operador – não o serviço hospedado da RIR – decide quando sua chave subordinada assina. Um pai não pode simplesmente usar essa chave privada para criar um objeto com a assinatura do filho. O operador pode aplicar seus próprios controles de hardware, regras de aprovação, trilhas de auditoria, automação e sucessão.
No entanto, o certificado deriva seu poder do pai. A RIR certifica quais números de recursos estão incluídos no certificado subordinado. Se um recurso for transferido, devolvido ou removido por meio de um processo fundamentado, o pai pode emitir um certificado mais restrito ou revogar o certificado subordinado. As partes confiáveis aceitam as ROAs do operador porque uma cadeia válida as alcança a partir de um âncora de confiança regional aceito, não porque a posse de uma chave privada cria uma autoridade independente.
A diferença se perde facilmente na linguagem política. Os defensores chamam o RPKI delegado de soberania. Provedores hospedados podem sugerir que o gerenciamento local de chaves muda pouco, porque o pai ainda controla o escopo. Ambas as posições simplificam uma verdadeira separação de tarefas.
O gerenciamento de chaves é importante porque impede que o provedor hospedado seja a única parte que pode expressar a intenção de roteamento do detentor. Permite que o operador integre autorizações com seus próprios controles de rede e mantenha um registro independente do que assinou. Pode reduzir a dependência de uma interface web regional durante uma mudança urgente de roteamento. Pode apoiar delegações subordinadas e administração unificada em vários relacionamentos pai.
A autoridade do pai é importante porque o RPKI é uma hierarquia de certificados de recursos. Um detentor anterior não pode continuar autorizando um prefixo transferido simplesmente mantendo uma chave privada antiga. Um filho comprometido ou persistentemente defeituoso não pode exigir certificação indefinida independentemente das consequências. A delegação precisa de regras para emissão, mudança de escopo, revogação e recuperação.
A questão institucional, portanto, não é isolada: “Quem tem a chave?” Mas se o detentor pode escolher e exercer seu papel de assinatura em termos confiáveis, interoperáveis e justos, enquanto o pai exerce sua autoridade mais restrita de acordo com procedimentos estabelecidos. Um direito utilizável existe nesse relacionamento, não apenas no arquivo de chave.
Conveniência hospedada e controle delegado atendem a necessidades diferentes
O RPKI hospedado tornou a autorização de rota acessível. O membro se autentica em um serviço RIR, insere um prefixo e um AS de origem, e o provedor cuida da geração de chaves, assinatura de objetos, renovação, manifestos, listas de certificados revogados e publicação no repositório. Para muitas redes pequenas, essa é a diferença entre implementar RPKI e não implementá-lo.
A operação delegada transfere responsabilidades importantes para o detentor. O operador executa uma CA subordinada, protege sua chave, comunica-se com o pai, cria objetos assinados e opera ou escolhe um serviço de publicação. Ele deve manter manifestos e informações de revogação atualizados e se recuperar de falhas de software ou infraestrutura.
Nenhum dos modelos é intrinsecamente virtuoso. Uma pequena rede municipal com duas rotas estáveis pode preferir razoavelmente um serviço hospedado bem administrado. Uma grande operadora multi-RIR com mudanças automatizadas de roteamento, clientes downstream e gerenciamento de chaves maduro pode razoavelmente exigir a delegação. Uma universidade ou consórcio público pode escolher chaves locais, mas a publicação pelo pai como um compromisso entre custódia institucional e resiliência do repositório.
A escolha se torna politicamente significativa porque o provedor de conveniência hospedada também é a autoridade pai. Este não é um mercado competitivo onde um cliente insatisfeito pode transferir a certificação de recursos regionais para outro provedor independente. Terceiros podem oferecer software CA ou operação gerenciada, mas o caminho do certificado ainda deve se conectar ao pai relevante.
A existência do serviço hospedado deve, portanto, fortalecer a opção delegada, não eliminá-la. Um padrão de baixo atrito serve para ampla adoção. Uma saída delegada prática disciplina a concentração e atende operadores com diferentes riscos. Os modelos se complementam quando o movimento é possível e as responsabilidades são claras.
Os problemas surgem quando a conveniência se torna o único caminho realisticamente suportado. A delegação pode aparecer em uma página de serviço, mas exigir trocas manuais opacas, software não suportado, interrupção não anunciada, contatos especiais e incerteza contratual. A escolha formal sobrevive, mas apenas operadores com relacionamentos excepcionais podem exercê-la com segurança.
O problema inverso também existe. Tratar a auto-operação como o único modelo respeitável pode transferir obrigações complexas de segurança para organizações que não podem cumpri-las. Uma chave mantida sob controles de acesso fracos e um repositório expirando não são autonomia em nenhum sentido útil. Pode degradar as evidências de roteamento para o detentor e aumentar o trabalho de validação para outros.
O objetivo legítimo é a escolha informada e sem penalidades. Usuários hospedados devem saber o que o provedor controla. Usuários delegados devem saber o que controlam e o que permanece com o pai. Cada um deve ter um caminho seguro para mudar de modelo à medida que suas capacidades e riscos evoluem.
Protocolos abertos transformam uma promessa em uma opção interoperável
A delegação seria frágil se cada RIR exigisse um filho proprietário. Os padrões IETF fornecem uma gramática operacional comum.
A RFC 6492 define um protocolo de provisionamento entre uma CA pai e uma CA filho. O filho pode listar seus direitos, solicitar certificados e solicitar revogação por meio de trocas autenticadas. O pai responde dentro de um protocolo definido, em vez de forçar cada implementação a reproduzir uma sessão web regional. O padrão não decide por que o pai aloca um recurso ou quando uma disputa contratual justifica uma ação. Ele torna o relacionamento de certificados interoperável assim que a autoridade é estabelecida.
A RFC 8181 separa a publicação da assinatura. Uma CA delegada pode enviar material assinado por meio de um protocolo de publicação autenticado para um servidor de repositório. Isso permite um arranjo híbrido: o operador mantém a chave de assinatura, enquanto a RIR ou outro provedor opera o repositório globalmente disponível. A separação de papéis reduz a falsa escolha entre entregar a chave e operar sozinho todos os serviços públicos.
Outros padrões RPKI definem perfis de certificado, manifestos, listas de revogação e procedimentos de troca. Eles fornecem um alvo estável para projetos de software independentes. Um operador pode avaliar implementações de CA mantidas, em vez de instalar um binário disponível apenas do pai.
Padrões não garantem usabilidade. Dois produtos podem reivindicar suporte enquanto diferem em perfis, comportamento de tempo, troca de identidade, tratamento de filhos ou correção de erros. Um pai regional pode cumprir a troca principal, mas tornar o onboarding dependente de um ticket manual. Um servidor de publicação pode aceitar mensagens padrão, mas não oferecer condições claras de capacidade ou incidente.
A autonomia utilizável requer, portanto, evidências de conformidade. As RIRs devem publicar versões de protocolo suportadas, perfis, algoritmos, comportamento de endpoint, limites de tamanho, expectativas de atualização e planos de descontinuação. Elas devem testar com mais de uma implementação de filho mantida, onde o ecossistema permitir, e publicar resultados reproduzíveis. Projetos de software devem testar com mais de um pai.
As mudanças devem ser escalonadas no tempo. Um pai deve anunciar a descontinuação de um protocolo ou perfil com antecedência suficiente para que os operadores delegados possam atualizar e simular. Mudanças de emergência relacionadas à segurança podem exigir ação mais rápida, mas devem incluir um plano de compatibilidade, notificação direta e uma revisão posterior. O operador não deve descobrir na renovação do certificado que seu filho anteriormente conforme não é mais aceito.
Padrões abertos também protegem a memória institucional. O pessoal muda, os provedores desaparecem e o software da comunidade pode ser descontinuado. Se as solicitações, respostas e objetos usarem formatos documentados, uma equipe sucessora pode reconstruir o relacionamento e migrar ferramentas. A autonomia depende menos das anotações privadas de um administrador.
O direito de manter uma chave é, portanto, inseparável do direito de usar um filho compatível com os padrões. Sem interoperabilidade, a custódia privada pode se tornar um confinamento proprietário com uma fechadura diferente.
Disponibilidade em uma página da web não é o mesmo que disponibilidade
Descrições de serviços regionais mostram que o RPKI delegado existe, mas as condições de acesso variam. A ARIN descreve provisionamento hospedado e delegado, bem como uma opção de publicação em repositório. O RIPE NCC permite CAs delegadas para membros elegíveis e certos usuários finais e documenta tanto a autopublicação quanto o serviço de publicação. A APNIC há muito tempo oferece suporte a filhos auto-operados e publicação pai. A LACNIC afirma que o serviço delegado está disponível para membros desde dezembro de 2019 e solicita que organizações interessadas entrem em contato com seu hostmaster.
Estes são compromissos significativos. Eles demonstram que a autogestão não é apenas teórica em várias regiões. Eles não provam que todo detentor em toda categoria contratual pode obtê-la em termos equivalentes.
A elegibilidade é o primeiro teste. Membros diretos podem ter um caminho claro, enquanto usuários patrocinados, independentes de provedor, legados ou de registro nacional dependem de outra instituição. Na região de serviço do RIPE NCC, a documentação para usuários finais independentes de provedor e legados vincula o acesso direto ou patrocinado a relações contratuais e de administrador de conta específicas. Na região da APNIC, os registros nacionais podem formar níveis pai adicionais. O caminho correto de autoridade segue o recurso e o acordo reais.
O segundo teste é a localização. Um serviço que requer um e-mail ainda pode funcionar bem, mas o usuário precisa de critérios de elegibilidade publicados, tempos de resposta esperados, pré-requisitos técnicos, termos e um caminho de escalonamento. Uma porta manual não divulgada dificulta saber se uma recusa se baseia em política, capacidade ou mal-entendido.
O terceiro teste é a equivalência. O usuário delegado pode obter certificados para os mesmos recursos elegíveis que um usuário hospedado? Ele recebe as mesmas notificações sobre mudanças de recursos? Ele pode usar a publicação do pai? Existe um serviço de teste? Os incidentes são tratados pela mesma equipe de operações? O portal de membros mostra informações de status suficientes para diagnosticar uma troca com falha?
O quarto teste são os custos práticos. O operador razoavelmente arca com a segurança local da CA e pessoal. Taxas adicionais do provedor podem ser justificáveis se refletirem um serviço real, especialmente publicação gerenciada ou suporte. Mas os custos devem ser publicados, previsíveis e vinculados ao serviço. Um prêmio opaco cobrado simplesmente porque um membro recusa a custódia de chave hospedada minaria a reivindicação de escolha igual.
Não há um denominador público atual mostrando quantos detentores elegíveis solicitaram delegação, foram aceitos, abandonaram a configuração, não conseguiram migrar ou retornaram ao serviço hospedado, em todas as regiões. A disponibilidade deve, portanto, ser avaliada por direitos publicados e caminhos de usuário reproduzíveis, não por uma taxa de aceitação global inventada.
Uma opção de serviço se torna igual quando um operador elegível comum pode descobri-la, entendê-la, concluí-la com ferramentas conformes e obter uma resposta fundamentada quando bloqueado. Qualquer coisa menos pode ainda ser útil, mas ainda não é um direito robusto.
### A migração é o ponto onde a escolha nominal encontra a consequência operacional
Um operador que já usa RPKI hospedado não pode provar sua liberdade apenas apontando para uma página de inscrição de delegação. Ele deve ser capaz de mover suas autorizações de roteamento da chave hospedada para um filho local sem um período evitável em que as rotas pretendidas percam a autorização válida.
A migração tem vários estados. O operador inventaria as ROAs atuais e as rotas pretendidas. Ele configura a CA local e protege sua chave. Pai e filho trocam identidades. Uma relação de publicação é configurada. O pai emite um certificado. O filho publica objetos substitutos. Validadores independentes os observam. Os objetos hospedados são desativados. O monitoramento confirma o resultado esperado.
A ordem é difícil porque duas CAs podem reivindicar escopo de recursos sobrepostos durante a transição. A política de certificados RPKI deve impedir duplicação não autorizada, e os sistemas pai podem ser projetados para suportar apenas um modo de CA de membro por vez. No entanto, uma sequência estrita de quebrar antes de fazer pode criar uma lacuna. Revogar a CA hospedada antes que o filho delegado possa publicar significa que as partes confiáveis podem temporariamente não ver autorização ou ver estados inconsistentes enquanto os caches são atualizados.
A documentação atual mostra diferenças regionais. O guia do RIPE NCC para configuração delegada solicita que um usuário hospedado existente revogue a CA hospedada antes de adicionar uma delegada e recomenda usar o ambiente de teste primeiro. A APNIC descreveu a operação paralela de serviços hospedados e auto-operados com suporte de helpdesk como um processo de transição. A ARIN solicita que os usuários que desejam alterar as opções de provisionamento trabalhem com os Serviços de Registro. Estas não são experiências equivalentes.
A operação paralela não é automaticamente segura. O pai deve garantir que a sobreposição seja intencional, curta, monitorada e incapaz de preservar a autoridade após uma transferência. As ROAs substitutas devem refletir a mesma intenção de roteamento verificada. Uma função de fazer antes de quebrar deve ser um estado de migração controlado, não uma dupla autorização permanente.
Onde a certificação paralela não pode ser oferecida, o provedor deve minimizar a lacuna por meio de pré-validação. Ele pode verificar a identidade, as chaves, a troca de software e a relação de publicação do filho antes de revogar a CA hospedada. Ele pode fornecer dados de intenção de roteamento aprovados e agendar a troca com a equipe de operações presente. Ele pode definir um retorno de emergência ao serviço hospedado se o filho falhar.
O registro de migração deve documentar as transições de validade esperadas e a observação real. “A nova CA foi criada” não é conclusão. Conclusão significa que os objetos assinados atuais são validados por meio do novo caminho, as rotas pretendidas têm o status esperado, a autoridade antiga foi desativada com segurança e o detentor possui uma prova duradoura.
O suporte à migração não é um extra opcional. Ele determina se o direito pode ser exercido sem pagar com riscos de acessibilidade evitáveis. Uma instituição que suporta autogestão apenas para novos usuários criou uma opção para o futuro enquanto prende efetivamente os usuários hospedados atuais.
### Ambientes de teste devem reproduzir os limites perigosos
A operação delegada deve ser simulada antes de transportar intenção de roteamento produtiva. Um pai de teste permite que o operador aprenda a troca de identidade, provisionamento, emissão de certificados, publicação, validação de objetos, troca e recuperação sem afetar autorizações ao vivo.
O ambiente só é valioso se suas diferenças forem explícitas. Um serviço de teste pode omitir a publicação pai, usar uma âncora de confiança diferente, simplificar a autorização de conta ou não ter o caminho de incidente de produção. A documentação de teste do RIPE NCC adverte, por exemplo, que seu pai de teste delegado atualmente não suporta publicação como serviço. Isso é honestidade útil; também significa que o teste não pode validar todo o arranjo híbrido produtivo.
Os provedores devem publicar uma matriz de recursos comparando teste e produção. O operador precisa saber quais versões de protocolo, estruturas de recursos, limites de taxa, modos de publicação, ações de revogação e alertas são equivalentes. Um resultado verde no teste não deve garantir segurança para um componente que estava ausente.
O teste deve cobrir falhas, não apenas o registro. Torne a chave filho inacessível e restaure-a a partir do mecanismo aprovado. Gire uma chave. Deixe um manifesto se aproximar da expiração. Interrompa a publicação. Altere o escopo certificado. Rejeite uma solicitação inválida. Revogue e restaure o filho. Simule a sucessão de pessoal. Cada exercício deve deixar evidências que outro administrador possa entender.
A simulação de migração é especialmente importante. Se a produção exigir a revogação da CA hospedada antes da criação delegada, o teste deve medir a prontidão do operador para a lacuna e a resposta do provedor. Se a produção permitir sobreposição, o teste deve mostrar como o escopo duplicado é limitado e encerrado.
Suites de conformidade podem tornar esses exercícios reproduzíveis. Eles devem publicar mensagens e resultados esperados sem expor credenciais de produção. Projetos de CA independentes, RIRs e operadores podem executar os mesmos casos. Falhas se transformam em relatórios de interoperabilidade acionáveis, em vez de boatos onde um lado culpa o outro.
O teste tem um efeito de governança. Reduz a vantagem de informação do pai e de provedores especializados. Um membro pode descobrir se possui pessoal, ferramentas e procedimentos para assumir obrigações delegadas. Também pode mostrar que uma recusa ou falha ocorre no limite do serviço e não dentro de seu próprio software.
Nenhum teste pode reproduzir todos os repositórios, validadores ou políticas de rede. O resultado é uma evidência de prontidão, não uma garantia de aceitação de rota. Mas um direito que não pode ser simulado antes da produção é desnecessariamente perigoso, especialmente para pequenos operadores que o exercem pela primeira vez.
### A publicação é separável, e isso altera o cálculo da autonomia
Operar uma CA e operar um repositório são funções diferentes. A CA protege uma chave privada e assina certificados, manifestos, listas de revogação e autorizações de roteamento. O serviço de publicação disponibiliza material assinado atual para partes confiáveis por meio de mecanismos globalmente acessíveis.
Um operador pode ser capaz de gerenciar chaves, mas não disposto a operar um repositório público de alta disponibilidade. Repositórios estão sujeitos a falhas de rede, ataques DDoS, inconsistências de armazenamento, objetos obsoletos e requisitos de compatibilidade de protocolo. Uma CA local pequena pode ser segura enquanto seu ponto de distribuição público é frágil.
A RFC 8181 permite a separação. O filho assina localmente e envia objetos por meio de um protocolo autenticado para um servidor de publicação. A ARIN oferece um Serviço de Publicação de Repositório para usuários delegados. A APNIC oferece suporte à publicação pai para CAs auto-operadas. O RIPE NCC oferece publicação como serviço para CAs delegadas. Esse híbrido pode ser um padrão forte para muitos detentores capazes.
O arranjo preserva autonomia significativa. A RIR não possui a chave de assinatura do filho apenas porque publica os objetos. Ela deve aceitar ou rejeitar mensagens de publicação de acordo com o protocolo declarado e verificações de autorização, não reescrever o conteúdo assinado. O operador pode manter seu próprio histórico de objetos e solicitações.
A dependência permanece. Se o serviço de publicação pai não estiver disponível ou remover o material do filho, as partes confiáveis podem eventualmente perder o acesso a objetos válidos atuais. Um provedor de publicação pode causar danos sem falsificar a assinatura do filho. Termos de serviço, design de disponibilidade, notificação de incidentes, evidências e saída são, portanto, importantes.
A autopublicação continua sendo uma opção legítima para operadores com capacidade e motivo para escolhê-la. O pai não deve exigir seu repositório apenas para manter a gestão delegada conveniente. Tampouco a retórica da autonomia deve pressionar todo filho a adicionar outro ponto de publicação frágil à superfície de busca global.
A migração entre serviços de publicação requer o mesmo cuidado que a migração entre CAs. URIs de repositório são incorporados em certificados, e partes confiáveis observam estados em cache. O operador e o pai devem provisionar a nova publicação, verificar a busca e desativar locais antigos de acordo com padrões e comportamento de software. A saída da publicação não deve exigir a entrega da chave de assinatura.
A política útil é a escolha modular: assinatura hospedada e publicação hospedada; assinatura delegada com publicação pai; ou assinatura delegada com publicação operada independentemente, sujeita a regras tecnicamente fundamentadas. Cada módulo deve identificar seu operador, dever, termos, evidências e recuperação.
A autonomia da chave é mais forte quando não impõe encargos operacionais não relacionados ao detentor da chave. A separação permite que as instituições atribuam a responsabilidade à parte que melhor pode suportá-la.
### Segurar a chave cria obrigações afirmativas
Um direito sem deveres colocaria em risco o mesmo ecossistema que pretende melhorar. O operador delegado controla uma função de certificação cuja saída desatualizada ou defeituosa pode desperdiçar recursos de partes confiáveis, invalidar seus próprios objetos e dificultar o diagnóstico.
O primeiro dever é a segurança da chave. O acesso deve ser limitado, autenticado e registrado. Assinaturas de alto impacto podem exigir múltiplos papéis de aprovação. Os backups devem ser criptografados, testados e protegidos contra a saída de um administrador da organização. O operador deve saber como revogar e substituir uma chave comprometida sem depender do ambiente comprometido.
O segundo dever é a atualidade do objeto e a consistência interna. Manifestos e listas de certificados revogados expiram. Os certificados devem ser renovados. Os objetos publicados devem corresponder ao escopo atual do certificado. A automação ajuda, mas deve ser monitorada de fora da CA. Um painel que diz “publicado” é mais fraco do que uma validação independente do resultado do repositório.
O terceiro dever é a disponibilidade da publicação. Se o operador publica por conta própria, assume o ônus de material atual globalmente acessível e um serviço de protocolo resiliente. Se usa a publicação pai, deve manter a relação de publicação autenticada e monitorar confirmações. Terceirizar a distribuição não elimina a necessidade de verificá-la.
O quarto dever é a correspondência com a intenção de roteamento. O gerenciamento local de chaves torna a automação possível, mas a automação pode assinar erros mais rapidamente. A CA deve comparar as rotas BGP pretendidas com as autorizações planejadas, usar correspondências precisas quando viável, exigir revisão para alterações amplas e preservar o histórico.
O quinto dever é o contato e a sucessão. As notificações do pai devem alcançar uma equipe ativa. Os contatos de emergência devem sobreviver a mudanças de pessoal. Uma fusão, falência ou transição de rede terceirizada precisa de uma transferência controlada. Uma chave que ninguém pode operar legal ou tecnicamente não é autonomia protegida.
Políticas regionais podem impor um mínimo de higiene se as regras forem prospectivas e proporcionais. A RIPE-847, publicada em 2025, fornece um exemplo limitado: se o RIPE NCC não conseguir detectar e validar o manifesto atual e a lista de revogação de uma CA delegada por mais de três meses, deve revogar o certificado de recurso após esforços razoáveis de detecção e notificação. A política visa CAs persistentemente não funcionais, não imperfeições breves.
Esta regra ilustra o dever mútuo. O operador deve manter um filho funcional. O pai deve usar um limite publicado, buscar material atual e fornecer notificação. A revogação não é enquadrada como punição por escolher a delegação; é uma resposta a uma falha persistente que sobrecarrega a validação.
Os direitos delegados são mais legítimos quando seus deveres são igualmente claros. O detentor pode então escolher com consentimento informado, e o pai pode abordar danos reais ao ecossistema sem tratar a autogestão como intrinsecamente suspeita.
### Escolha sem penalidades é mais ampla do que o preço
Uma RIR poderia cobrar a mesma taxa de associação para serviços hospedados e delegados e ainda assim tornar a delegação punitiva. O tratamento igual tem várias dimensões.
A elegibilidade não deve diminuir simplesmente porque o detentor escolhe sua própria chave, exceto onde uma relação técnica ou contratual é realmente diferente. O pai deve certificar o mesmo escopo de recursos atual após aplicar as mesmas regras de registro. Não deve condicionar serviços não relacionados à entrega da custódia de assinatura.
O suporte deve ser adequado, não idêntico. Usuários hospedados precisam de ajuda com ações no portal; usuários delegados precisam de ajuda com a troca com o pai, status do certificado e publicação. A RIR não precisa depurar toda instalação de terceiros, mas deve reconhecer se uma falha ocorreu em seu endpoint, publicar diagnósticos e manter um caminho de escalonamento. “Não suportado porque auto-hospedado” é inadequado quando o componente em disputa é o próprio serviço do pai.
As informações devem chegar simultaneamente. Operadores delegados precisam de notificações sobre mudanças de registro relevantes para certificados, descontinuações de protocolo, trabalho na âncora de confiança, incidentes de serviço e propostas de política. Não devem saber por alarmes de partes confiáveis que uma ação do pai alterou seu escopo.
O acesso a incidentes também deve ser igual. Um usuário delegado pode precisar de uma reemissão de emergência ou ajuda para confirmar uma resposta do pai. O provedor pode exigir prova de identidade forte, mas não deve colocar a autogestão em uma fila de prioridade mais baixa apenas porque a equipe hospedada tem ferramentas mais familiares.
Revisão e remediação devem seguir o controle. O detentor é responsável por sua chave e pela saída do filho. O pai é responsável por direitos precisos, operação do protocolo e ações que toma no certificado subordinado. Os contratos não devem usar a delegação para excluir todas as falhas controladas pelo pai. Por outro lado, um operador delegado não deve esperar que a RIR assegure perdas causadas por seu repositório não mantido.
O preço pode refletir custos. Um serviço de publicação especializado ou suporte de migração pode consumir recursos. As taxas devem ser publicadas, aprovadas pelo processo de governança apropriado e razoavelmente vinculadas ao serviço, em vez de projetadas para direcionar os usuários à custódia hospedada. Isenções de taxas ou suporte compartilhado podem ser apropriados quando redes de interesse público não têm capacidade, mas as decisões de subsídio devem ser transparentes.
O status de associação deve permanecer intacto. A escolha de uma CA delegada não deve reduzir o direito de voto, a participação em políticas, o acesso a serviços de registro ou a presunção de que o detentor é um membro responsável. Incidentes de segurança devem ser julgados por evidências, não por uma crença cultural de que apenas a operação centralizada é segura.
Escolha sem penalidades não significa nenhuma consequência para falhas. Regras de segurança neutras, taxas baseadas em custos e revogação proporcional podem ser aplicadas. O teste é se o mesmo objetivo legítimo poderia ser alcançado sem onerar a autonomia da chave mais do que o necessário.
### A autoridade de revogação precisa de razões e um caminho de volta
A delegação não elimina a capacidade do pai de revogar um certificado subordinado. Esse poder é necessário quando uma chave é comprometida, os recursos deixam o detentor, um certificado se torna inconsistente com o registro autoritativo ou um filho persistentemente falho impõe danos operacionais.
Esse poder também define o limite da autonomia da chave privada. Um detentor pode possuir a chave subordinada e todos os backups, mas suas assinaturas param de validar se o caminho do pai for revogado. Salvaguardas processuais nesse limite são, portanto, essenciais.
O pai deve publicar classes finitas de revogação. Comprometimento de segurança, solicitação autenticada do detentor, transferência de recurso concluída, expiração de uma relação de serviço elegível, exigência legal vinculante e falha técnica persistente são classes compreensíveis. Amplas “razões operacionais” devem ser apoiadas por limites, aprovadores e revisão.
A notificação deve corresponder à urgência. Um comprometimento de chave confirmado pode exigir ação imediata, seguida de um rápido recadastramento sob uma chave limpa se o direito persistir. Uma transferência planejada pode usar uma troca programada. Uma regra de falha técnica pode prever observação, tentativas de contato, um período de cura e uma notificação final antes da ação. Disputas administrativas não relacionadas à segurança de roteamento merecem cautela antes de ações de certificado.
As razões devem ser fornecidas com detalhes suficientes para que o operador possa responder. Uma falha de protocolo deve identificar a troca com falha. Uma mudança de escopo de recurso deve identificar o evento de registro. Material legal sensível pode exigir divulgação limitada, mas o sigilo não deve se tornar o padrão.
A revisão deve ser capaz de fornecer remediação. Uma apelação ouvida apenas meses após a perda de autorizações válidas não é adequada. O sistema precisa de uma revisão técnica de emergência capaz de corrigir ações pai errôneas, seguida de uma revisão institucional mais ampla se os fatos ou a autoridade permanecerem disputados.
Também deve haver um caminho de volta. Se a chave subordinada estiver segura e o pai agiu erroneamente, a recuperação pode reemitir o certificado correto e verificar os objetos existentes. Se a chave subordinada estiver comprometida, o processo deve configurar um filho limpo. Se o operador falhou, a cura pode exigir manifestos atualizados, publicação corrigida ou migração para o serviço hospedado. A remediação deve corresponder à causa.
Um registro de auditoria deve preservar solicitação, motivo, classe de evidência, aprovações, notificações, ações de certificado, efeito de publicação e recuperação. O relatório público pode agregar eventos de rotina e descrever falhas graves do provedor sem revelar topologia privada.
A legitimidade da autoridade do pai não vem de negar seu efeito. Vem de exercer o efeito por meio de regras previsíveis, verificáveis e reparáveis. A delegação permanece significativa quando o pai não pode assinar com a chave do filho e o filho não pode ser revogado arbitrariamente.
### A automação deve ser portátil, não cativa
Grandes operadores muitas vezes escolhem a delegação porque desejam que as autorizações de roteamento sigam a intenção da rede por meio de automação local. Um sistema de controle de tráfego pode preparar uma rota, obter aprovação e criar a ROA correspondente sem esperar que um humano opere vários portais regionais.
Essa vantagem só é real se a automação for portátil. O operador deve ser capaz de exportar seu conjunto de rotas pretendido, relacionamentos de CA, histórico de certificados e status de publicação em formas documentadas. Não deve precisar reproduzir um modelo proprietário do provedor antes de trocar de implementação de CA.
Protocolos abertos de provisionamento e publicação definem os limites do pai e do repositório, mas também os dados locais da CA são importantes. As chaves podem razoavelmente não ser exportáveis do hardware. Configuração, intenção de autorização, relacionamentos filhos, contatos, evidências de auditoria e instruções de recuperação devem, no entanto, ser transferíveis ou reconstruíveis.
A diversidade de software reduz a dependência de um único projeto, mas a migração entre implementações não é trivial. Uma nova CA pode usar uma nova chave e exigir coordenação com o pai. Certificados filhos e URIs de publicação podem mudar. O operador deve testar a transição e preservar a continuidade, em vez de copiar estado interno opaco.
As RIRs podem apoiar a portabilidade documentando requisitos de protocolo neutros, em vez de suportar um único cliente obrigatório. Elas podem fornecer exemplos para software amplamente utilizado, enquanto aceitam qualquer implementação conforme. Um teste de conformidade deve relatar o comportamento padrão com falha, não a marca não suportada.
O serviço delegado gerenciado requer clareza adicional. Um terceiro pode operar a CA subordinada em nome do detentor, enquanto o detentor retém a autoridade contratual ou uma chave de hardware. A RIR deve autenticar o detentor legítimo e reconhecer agentes autorizados, sem confundir o provedor com o detentor do recurso. As condições de saída devem permitir que o detentor substitua o agente sem perder o relacionamento com o pai.
A automação também aumenta o raio de explosão de erros. Um feed de intenção defeituoso pode substituir muitas autorizações. O software delegado deve oferecer simulações, limites de transação, políticas de aprovação e uma parada de emergência. O controle local não é um argumento para proteções mais fracas; é uma oportunidade para integrá-las mais estreitamente com o roteamento real.
A automação portátil fortalece tanto a autonomia quanto a responsabilidade. O detentor pode trocar de ferramentas, preservar evidências e identificar qual sistema emitiu um objeto defeituoso. O pai pode manter um limite de padrão estável, em vez de suportar cada design interno.
Um direito vinculado a uma versão de aplicativo ou consultor é frágil. Um direito expresso por meio de protocolos interoperáveis, configuração recuperável e agentes intercambiáveis pode sobreviver à mudança institucional.
### Pequenos operadores precisam de um caminho apoiado, não de uma palestra sobre soberania
O RPKI delegado é frequentemente discutido por meio das necessidades de operadoras globais e registros nacionais. Operadores menores também podem ter razões legítimas para a custódia local: requisitos do setor público, políticas internas de segurança, roteamento multi-provedor, desconfiança devido a uma disputa de conta passada ou a necessidade de integrar com controles locais.
Eles carregam um fardo relativo mais íngreme. Os mesmos conceitos de CA, gerenciamento de chaves, publicação e monitoramento se aplicam a uma organização com três engenheiros como a uma com trezentos. Uma documentação que assume profundo conhecimento de infraestrutura de chave pública pode tornar a opção formal inacessível.
Suporte não significa tomar a chave de volta. RIRs e instituições comunitárias podem fornecer explicações graduais de padrões, pais de teste, exemplos de configuração validados, verificações de conformidade, horários de expediente e planejamento de migração. Um serviço de publicação híbrido pode remover o maior fardo da disponibilidade pública, mantendo a assinatura local.
A operação cooperativa é outra possibilidade. Várias organizações podem usar um provedor gerenciado qualificado enquanto retêm diferentes chaves filho e autoridade. Os contratos devem definir quem pode assinar, quem detém o material de recuperação, como os incidentes são relatados e como cada membro sai. A infraestrutura compartilhada não deve colapsar a autorização separada em um administrador não documentado.
O apoio financeiro pode ser justificado para redes comunitárias, universidades e serviços locais críticos, onde a implantação segura tem valor público. Deve ser distribuído por meio de critérios transparentes e não comprar apoio político. Ajuda e eleições de registro são esferas separadas.
O treinamento deve incluir razões para não delegar. Se a organização não pode manter contato, proteger credenciais, monitorar a publicação ou realizar recuperação, o serviço hospedado pode ser mais seguro hoje. A decisão pode ser reconsiderada. Escolha informada inclui a liberdade de decidir que as chaves locais ainda não são responsáveis.
O provedor deve evitar dois tons. Um é desdenhoso: “Só especialistas precisam disso.” O outro é romântico: “Controle real significa fazer tudo sozinho.” Ambos obscurecem um espectro de decisões modulares e suporte.
Um direito prático é projetado em torno do membro elegível menos equipado com um caso de uso legítimo, não apenas em torno da primeira grande operadora que concluiu com sucesso a troca XML. Se esse membro pode testar, obter ajuda, usar a publicação pai e migrar com segurança, a opção institucional está madura.
### Evidências devem distinguir recusa, dificuldade e recusa responsável
Alegações de que uma RIR não permite autonomia de chave podem significar coisas diferentes. O serviço pode não estar formalmente disponível para uma categoria de detentor. Pode estar disponível, mas não documentado. Uma solicitação pode estar atrasada. Um determinado cliente pode não atender à conformidade. O detentor pode não ter a relação contratual necessária para certificação. O operador pode ter feito uma solicitação inválida. O pai pode ter recusado por um motivo de segurança declarado.
Esses casos exigem remediações diferentes. Uma auditoria de direitos deve registrar a data da solicitação, a categoria do detentor, a relação de recursos, a elegibilidade publicada, o software e a versão, a troca de protocolo, a resposta de erro, o contato de suporte, o motivo, o atraso e o resultado final. Capturas de tela sozinhas são fracas onde mensagens de máquina existem.
A dificuldade também precisa de um denominador. Dez reclamações não provam que a maioria das migrações falha quando o número de tentativas de migração é desconhecido. Uma alegação regional não deve se tornar global. Os provedores podem melhorar as evidências publicando números de solicitações e resultados com categorias e proteções de privacidade.
A recusa responsável é possível. Uma solicitação fora dos recursos certificados não pode ser concedida. Um filho que usa um algoritmo proibido ou uma solicitação de certificado inválida pode precisar de correção. Uma CA persistentemente não funcional pode justificar ação de acordo com uma regra publicada. Um provedor não autorizado não pode simplesmente reivindicar o direito do membro.
O provedor deve emitir um motivo que corresponda a uma regra e uma cura. “Não suportado” deve indicar se o problema é protocolo, perfil, elegibilidade, segurança ou capacidade. O detentor deve poder solicitar revisão se acreditar que o padrão ou a política foi aplicado incorretamente.
Pesquisadores também devem verificar documentos públicos na data do evento. As características do serviço mudam. A página atual da LACNIC registra disponibilidade delegada a partir de 2019, enquanto a ausência anterior não pode ser inferida do formulário atual. Os serviços de publicação da APNIC e do RIPE NCC evoluíram. Uma análise histórica justa data as alegações, em vez de projetar retroativamente capacidades atuais.
Evidências operacionais superam a retórica. Uma carta pode prometer controle do detentor; uma troca de padrão bem-sucedida mostra um aspecto disso. Uma página de serviço pode prometer delegação; uma lacuna de migração reproduzível mostra uma limitação. Nenhum ponto único estabelece a instituição inteira.
Essa disciplina protege tanto os membros quanto as RIRs. Torna a exclusão real visível, enquanto filtra erros causados por escopo não elegível ou software filho defeituoso. A autonomia da chave merece evidências fortes o suficiente para apoiar reparos, não slogans amplos o suficiente para caber em qualquer frustração.
### A Number Resource Society pode definir um pacto mútuo
O foco declarado da NRS na participação dos detentores, registro preciso e limites ao poder arbitrário do registro torna o RPKI delegado um teste natural. A organização pode contribuir mais definindo direitos concretos e deveres mútuos.
Seu primeiro produto poderia ser uma matriz regional de acesso delegado. Para cada RIR e categoria de detentor relevante, registraria elegibilidade, termos autoritativos, protocolo pai, perfis de certificado suportados, opções de publicação, capacidades de teste, sequência de migração, caminho de suporte, taxas, regras de revogação e revisão. Cada entrada teria links para material primário atual e carregaria uma data de revisão.
O segundo poderia ser uma clínica de conformidade e migração. Os membros executariam casos de teste autorizados com software CA mantido, preservariam resultados e buscariam correção do provedor antes da publicação. A clínica poderia distinguir erros de filho de erros de pai e compartilhar correções sem expor chaves ou detalhes de recursos.
O terceiro poderia ser um pacto de continuidade para membros que escolhem a delegação. Os participantes manteriam contatos nomeados, evidências de recuperação de chave, monitoramento de objetos atual, testes de publicação e um plano de sucessão. A NRS poderia fornecer modelos e exercícios, em vez de certificar segurança que não pode garantir independentemente.
O quarto poderia ser a representação na governança regional. Onde a migração exige quebrar antes de fazer evitável, os termos de suporte são obscuros ou os usuários delegados recebem acesso a incidentes mais fraco, a NRS pode apresentar propostas baseadas em evidências. Pode solicitar que os conselhos expliquem custos, restrições de segurança e planos de implementação.
A NRS deve estabelecer limites para sua própria defesa. Uma chave privada não é evidência de título de propriedade, reivindicação eterna de registro ou imunidade contra ordens judiciais. Um pai regional continua sendo parte da cadeia de certificados. Uma CA operada por um membro pode falhar e pode estar sujeita a ação proporcional apropriada. Os materiais primários da NRS não provam que cada RIR aceita sua análise ou que seu pacto proposto já está sendo aplicado.
O enquadramento recíproco é importante. Os membros não exigem manter chaves sem responsabilidade. Eles exigem as ferramentas, padrões, migração e tratamento justo necessários para carregar a responsabilidade competentemente. As RIRs não abdicam da soberania autoritativa do recurso. Elas aceitam que o controle sobre o ato de assinatura do filho está com o filho quando o membro escolhe a delegação.
Este pacto fortalece a segurança de roteamento. Cria operadores mais capazes, preserva um caminho hospedado de baixo ônus e torna as funções concentradas contestáveis sem desestabilizar a hierarquia.
### As objeções são mais fortes quando revelam custos ocultos
A primeira objeção é que as CAs delegadas aumentam o número de sistemas que podem falhar. Correto. A centralização hospedada pode fornecer custódia profissional de chaves e resiliência de repositório. A delegação troca parte da eficiência operacional central pela separação da autoridade de assinatura e integração local. A resposta é escolha informada, publicação híbrida e higiene mínima aplicável, não delegação forçada.
A segunda objeção é que um pai não pode permitir sobreposição durante a migração sem certificação dupla. A sobreposição realmente cria riscos. Mas os provedores podem pré-validar o filho, provisionar a publicação e limitar qualquer escopo duplicado temporário. Onde o protocolo ou a política impede a sobreposição, eles podem publicar a restrição e fornecer uma troca coordenada com reversão rápida. “Sem sobreposição” não deve significar “sem construção de migração”.
A terceira objeção é que os padrões abertos já resolvem a igualdade. Os padrões resolvem uma parte técnica crucial. Eles não estabelecem elegibilidade, taxas, suporte, notificação, paridade de teste, sequência de migração ou remediação. Um endpoint conforme ainda pode ser praticamente inacessível.
A quarta objeção é que regras sem penalidades forçariam as RIRs a subsidiar usuários caros. Não precisam. Preços transparentes baseados em custos e limites razoáveis de suporte são compatíveis com status igual. Penalidade significa um ônus não relacionado a custos e riscos legítimos ou desproporcional, não qualquer diferença no serviço.
A quinta objeção é que a posse local de chave promove reivindicações errôneas de propriedade. Esse risco retórico existe. A documentação deve delinear claramente o limite: a chave autentica os objetos assinados do filho dentro do escopo certificado atual. Não cria título legal e não substitui uma ação pai válida.
A sexta objeção é que os usuários delegados podem simplesmente retornar ao serviço hospedado em caso de falha. O retorno é útil, mas também uma migração que requer autoridade atual, substituição segura de objetos e desativação de chave. Deve ser projetada, testada e livre de estigma. A falha deve levar ao aprendizado, não à exclusão permanente, onde o detentor permanece elegível.
A última objeção é que apenas uma pequena minoria pode desejar a delegação. Nenhum denominador global confiável suporta uma proporção exata, e os direitos das minorias podem, no entanto, disciplinar um serviço concentrado. Os custos devem permanecer proporcionais à demanda, mas o suporte nominal não é suficiente quando a opção é apresentada como parte do modelo de confiança.
Essas objeções limitam a reivindicação a uma defensável. O direito não é autocertificação universal, suporte personalizado gratuito ou isenção de segurança. É uma escolha utilizável, baseada em padrões e administrada de forma justa para detentores elegíveis dispostos a assumir os deveres.
### Uma carta de direitos delegados pode ser curta e aplicável
Toda RIR que oferece certificação deve publicar uma carta de direitos delegados junto com a documentação técnica e os termos de serviço. Não precisa ser uma grande linguagem constitucional. Deve responder às decisões que um operador precisa tomar.
Elegibilidade: Especifique quais membros diretos, usuários patrocinados, detentores legados, registros nacionais e agentes autorizados podem solicitar um certificado subordinado e sob qual acordo. Declare as provas necessárias e o tempo de resposta esperado.
Interoperabilidade: Liste os padrões, perfis, algoritmos e versões de protocolo suportados. Forneça endpoints, casos de teste, anúncios de descontinuação e uma resposta de conformidade fundamentada. Aceite qualquer implementação que atenda aos requisitos publicados, em vez de uma única marca preferida.
Escolha: Ofereça modelos hospedados, delegados e híbridos de publicação disponíveis sem perda não relacionada de serviço de associação. Publique taxas e limites de suporte. Permita agentes gerenciados autorizados, preservando a autoridade do detentor.
Migração: Descreva cada estado, do inventário à desativação da CA antiga, incluindo se a sobreposição é possível, como a pré-validação funciona, qual pessoal está presente, qual monitoramento prova a conclusão e como a recuperação de emergência ocorre.
Operação: Declare os deveres do detentor para segurança de chave, manifestos, informações de revogação, publicação, contatos, intenção de roteamento e sucessão. Declare os deveres do pai para precisão de direitos, disponibilidade de protocolo, notificação, evidências de incidentes e suporte em seu limite.
Medidas adversas: Defina classes de revogação, urgência, notificação, cura, aprovadores, evidências, revisão e recuperação. Separe falha técnica persistente de falha breve e emergência de segurança de disputa administrativa.
Portabilidade: Explique como um detentor troca de software CA, provedor de publicação, agente gerenciado ou modelo de provisionamento. Forneça estado exportável onde compatível com segurança de chave e preserve um registro histórico.
Responsabilidade: Publique métricas de serviço com denominadores honestos, relate incidentes graves causados pelo provedor e ofereça um caminho de revisão independente. Convide a mudança da comunidade por meio da governança establecida da RIR.
A carta deve ser testável. Um membro pode apontar para uma resposta perdida, uma troca conforme não suportada ou uma etapa de migração não documentada. A instituição pode apontar para um dever de detentor violado. A discordância se torna mais restrita e solucionável.
Tal carta não tornaria a RIR garantidora de cada repositório delegado, nem o detentor independente do registro de recursos. Transformaria uma descrição de serviço responsiva em obrigações mútuas. É isso que transforma a posse de chave de um recurso técnico em uma escolha institucional aplicável.
### Meça a escolha exercida, não a disponibilidade teórica
As RIRs frequentemente relatam cobertura RPKI ou números de objetos. Essas medidas não mostram se a escolha delegada é utilizável.
Um serviço regional pode relatar solicitações elegíveis, onboarding concluído, mediana e intervalo de tempo para relação pai, falhas de conformidade por motivo, migrações por modelo, recuperações de emergência, retorno voluntário ao serviço hospedado e revogações involuntárias. As contagens precisam de períodos de relatório claros e categorias de detentor onde a privacidade permitir.
Medidas de migração devem separar a preparação da troca de produção. Um longo período de preparação escolhido pelo operador não é o mesmo que um atraso do pai. Relate lacunas de autorização esperadas e reais, sucessos de validação externa e incidentes não resolvidos. Não chame uma emissão de certificado de concluída se os objetos pretendidos não permanecerem disponíveis.
Medidas de suporte devem identificar qual lado controlava o erro. Endpoint pai, serviço de publicação, software filho, chave local, autorização de conta e status de registro são categorias diferentes. Isso permite que os investimentos sigam problemas recorrentes.
Os operadores podem manter uma pontuação de prontidão própria: recuperação de chave atual, manifesto e informações de revogação válidos, validação de repositório externo, contatos ativos, troca de pai testada, intenção documentada, status de suporte de software e sucessão. A pontuação deve estimular a ação, em vez de se tornar um distintivo público que exagera a segurança.
A NRS e os pesquisadores podem comparar direitos publicados e testes autorizados entre regiões. Devem evitar um ranking simples. Uma região com poucos usuários delegados pode ter um serviço muito utilizável; outra com mais usuários pode refletir estrutura de mercado. Adoção não é prova de justiça, e baixa adoção não é prova de obstrução.
A métrica mais reveladora é a troca de modelo bem-sucedida sem perda não intencional de autorização válida. Ela testa simultaneamente documentação, identidade, padrões, operação do pai, prontidão do filho, publicação, monitoramento e remediação.
Nenhum dado público completo atualmente suporta uma taxa global de aceitação de solicitações delegadas, uma taxa de falha de migração, uma comparação de custos ou uma probabilidade de impacto de rota. Essa limitação pertence a toda análise séria. É também uma razão para as instituições publicarem evidências limitadas de serviço.
O objetivo não é maximizar a delegação. É mostrar que membros elegíveis podem exercê-la quando justificado e que aqueles que permanecem hospedados o fazem por preferência informada, não por aprisionamento prático.
### Autonomia é a capacidade de escolher responsabilidade
O RPKI delegado existe em formas regionais por grande parte da história operacional do RPKI. Padrões abertos tornam possível o provisionamento pai-filho e a publicação separada. Várias regiões agora descrevem a certificação auto-operada, e o software existe fora do controle da RIR. Estas são conquistas substanciais.
A questão de governança restante é se a opção funciona como um direito e não como uma exceção. Um detentor elegível pode descobrir os termos, usar um filho conforme, testar falhas, escolher a publicação, migrar com segurança, obter suporte, contestar um erro do pai e trocar de ferramentas sem desvantagens não relacionadas?
A posse de uma chave privada responde apenas a uma parte. Impede que o provedor hospedado assine como o filho e permite segurança e automação locais. Não remove o certificado pai, não garante disponibilidade do repositório, não prova título de recurso e não isenta o filho de deveres operacionais.
Padrões, suporte à migração e escolha sem penalidades devem coexistir. Padrões sem migração deixam os usuários hospedados instalados presos. Migração sem interoperabilidade pode vinculá-los a uma ferramenta. Escolha técnica sem informações iguais, suporte e revisão pode criar uma associação de segunda classe. Tratamento igual sem deveres do detentor pode onerar toda parte confiante.
As RIRs devem manter um forte serviço hospedado. É a escolha responsável para muitos membros e uma contribuição importante para a adoção prática. Devem também tornar os modelos delegados e híbridos comprovadamente utilizáveis, porque a confiança é mais forte quando o gerenciamento de chaves pode ser separado do pai conforme a necessidade do operador.
Os membros que escolhem a delegação devem aceitar o pacto afirmativo completo: chaves seguras, objetos atuais, publicação resiliente, intenção monitorada, contatos ativos e sucessão testada. Não devem descrever a custódia local como uma fuga do registro legítimo ou do escopo do certificado.
A NRS pode tornar esse equilíbrio visível por meio de evidências, exercícios de conformidade, assistência à migração e propostas regionais. Sua defesa é credível quando insiste tanto nos deveres quanto nos direitos e evita alegações que vão além da prova técnica e contratual.
O direito de manter suas próprias chaves é, em última análise, o direito de escolher responsabilidade. Significa que o pai não pode exigir a entrega do ato de assinatura do filho apenas por conveniência administrativa, e o filho não pode exigir confiança sem operação competente. Entre essas posições está um arranjo institucional maduro: aberto, portátil, verificável e seguro para entrar ou sair.
Quando esse arranjo existe, o RPKI delegado não é um slogan sobre soberania. É uma separação prática de tarefas que fortalece tanto a segurança de roteamento quanto a legitimidade das instituições acima dele.
Fontes
- IETF, RFC 6480,An Infrastructure to Support Secure Internet Routing:https://www.rfc-editor.org/rfc/rfc6480.html
- IETF, RFC 6484,Certificate Policy for the Resource Public Key Infrastructure:https://www.rfc-editor.org/rfc/rfc6484.html
- IETF, RFC 6486,Manifests for the Resource Public Key Infrastructure:https://www.rfc-editor.org/rfc/rfc6486.html
- IETF, RFC 6489,Certification Authority Key Rollover in the Resource Public Key Infrastructure:https://www.rfc-editor.org/rfc/rfc6489.html
- IETF, RFC 6492,A Protocol for Provisioning Resource Certificates:https://www.rfc-editor.org/rfc/rfc6492.html
- IETF, RFC 8181,A Publication Protocol for the Resource Public Key Infrastructure:https://www.rfc-editor.org/rfc/rfc8181.html
- IETF, RFC 8211,Adverse Actions by a Certification Authority or Repository Manager in the RPKI:https://www.rfc-editor.org/rfc/rfc8211.html
- ARIN,RPKI Deployment Options:https://www.arin.net/resources/manage/rpki/options/
- ARIN,RPKI Frequently Asked Questions:https://www.arin.net/resources/manage/rpki/help/faq/
- ARIN,Delegated RPKI:https://www.arin.net/resources/manage/rpki/options/delegated/
- ARIN,Repository Publication Service:https://www.arin.net/resources/manage/rpki/options/rps/
- RIPE NCC,Using the RPKI System:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/using-the-rpki-system/
- RIPE NCC,Using a Delegated Certification Authority:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/using-a-delegated-certification-authority/
- RIPE NCC,RPKI for PI and Legacy End Users:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/resource-certification-rpki-for-provider-independent-end-users/
- RIPE NCC,RPKI Test Environment:https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/rpki-test-environment/
- RIPE NCC, RIPE-847,Revocation of Persistently Non-functional Delegated RPKI CAs:https://www.ripe.net/publications/docs/ripe-847/
- APNIC,APNIC Now Supports RFC-Aligned Publish in Parent Self-Hosted RPKI:https://blog.apnic.net/2020/11/20/apnic-now-supports-rfc-aligned-publish-in-parent-self-hosted-rpki/
- APNIC,How to Run Delegated RPKI in Krill:https://blog.apnic.net/2020/12/23/how-to-run-delegated-rpki-in-krill/
- APNIC,Resource Public Key Infrastructure:https://www.apnic.net/community/security/resource-certification/
- LACNIC,Resource Certification:https://www.lacnic.net/640/1/lacnic/resource-certification-rpki
- Number Resource Society,Our Charter:https://nrs.help/our-charter/
- Number Resource Society,Frequently Asked Questions:https://nrs.help/faq/

