更新时间:2026-01-28 10:03:29
开发经验
24互联网名称与数字地址分配机构(ICANN) 于2018 年10 月11 日更改或“滚动”了DNS 根区域的密钥。这是自2010 年推出以来首次更改密钥。该密钥有助于保护互联网的地址簿- 域名系统(DNS)。
在今年早些时候的一次会议上,ICANN 董事会通过了一项决议,预示着根区域密钥签名密钥(KSK) 的首次更改或“轮转”,该密钥在2010 年被用作DNS 安全扩展(DNSSEC) 的信任锚。
以最小的干扰完成
据ICANN 称,它于上周四(10 月11 日)完成了根区域密钥的首次更改,确保对全球互联网的“干扰最小化”。
ICANN此前进行了多次测试,确认全球只有1%的人口会遇到问题,但用户数量仍然超过3600万。也就是说,如果您是不幸的1% 用户之一,则无需惊慌。该故障是暂时的,不需要用户执行额外的步骤。您可以做的是重新启动调制解调器或仔细检查您的DNS,以确保您的DNS 地址已由您的互联网服务提供商(ISP) 更新。
这家总部位于洛杉矶的非营利组织在昨天的更新中表示:“在评估现有数据后,似乎并没有大量互联网最终用户受到这一关键变化的持续负面影响。”
“正如预期的那样,少数解析器尚未准备好轮转。据ICANN 所知,这些解析器能够解决当前的DNSSEC 问题并快速恢复其DNS 服务。”
滚动周
鉴于这是第一次更改密钥,ICANN 可以在发生“系统性故障”时启动过渡。该卷原定于2017 年9 月发布,但在ICANN 开始分析涉及网络运营商潜在准备情况的新数据后被推迟。
在上周的重大变化之前,该组织表示,一些互联网用户可能仍会受到任何不能确保其解析器配置正确的运营商的影响。然而,并没有发生任何重大事故,翻车被认为是成功的。
ICANN 首席技术官David Conrad 表示:“成功部署基区密钥所需的基础设施已证明密钥可以在全球范围内更新。” “它还提供了重要的见解,将帮助我们集中精力未来的推广。”
根区KSK 轮换定义
KSK 是公钥-私钥对,其公钥分布在全球数百万个系统中。私钥在ICANN 系统内高度安全,备份分布在七个密钥持有者之间。
早在2010年,ICANN就开始使用DNSSEC对根区域进行签名。 DNSSEC可以确保服务器记录的数据不被篡改。
DNS根区域的签名包括以下两种类型:用于对根区域主数据进行签名的域签名密钥ZSK和用于对根区域的根区域密钥集进行签名的KSK。 ZSK通常每三个月更新一次,以确保数据安全。每个新的ZSK都用长期有效的KSK进行签名,以确保ZSK的有效性。当密钥签名密钥KSK 需要更改时,就会发生轮换。轮换期间,原KSK将被停用,新的KSK将用于重新签名ZSK。
为什么要执行KSK 轮换?
KSK轮换的目的是保证全球DNS系统的安全运行。不支持DNSSEC加密的DNS解析服务器将无法运行。轮转后,超过99% 的DNS 服务器将使用新的KSK 密钥进行签名,因此支持DNSSEC 的解析器影响不大。在此KSK 轮换之后,尚不支持DNSSEC 加密的服务器可能无法正确解析,因为它们无法获取新密钥。
ICANN 表示,现在将进入轮转流程的下一步:撤销旧的KSK。这将于2019 年第一季度进行,预计不会影响任何解析器,因为旧KSK 不再用于签署根区域。该流程的步骤将包括在2019 年晚些时候从ICANN 安全设施的信任锚文件和硬件安全模块中删除已撤销的密钥。
“这是第一次更改根密钥,但不会是第一次,”ICANN 研究副总裁马特马云惹不起马云拉尔森(Matt Larson) 表示。
我们专注高端建站,小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验,每一个项目承诺做到满意为止,多一次对比,一定让您多一份收获!
