互联网名称与数字地址分配机构 (Internet Corporation for Assigned Names and Numbers, ICANN) 很高兴宣布计划生成域名系统安全扩展 (Domain Name System Security Extensions, DNSSEC) 所使用的新根区密钥签名密钥 (Key Signing Key, KSK)。DNSSEC 确保了从域名系统 (Domain Name System, DNS) 收到的关于某个域名的信息是真实的。它有助于让互联网更加安全,为互联网用户带来福祉。
生成新的 KSK 意味着将重启去年宣布的流程,这个流程之所以被暂停,是因为存储 KSK 的密钥设备(称为硬件安全模块 (Hardware Security Module, HSM ))供应商在新 KSK 的预期使用寿命内会退出这项业务。在整个 2023 年,互联网号码分配机构 (Internet Assigned Numbers Authority, IANA) 发挥了自身职能,对几家 HSM 候补供应商进行了评估,并选定了一家替代供应商。本公告附有对这一选择及其影响的分析。
作为第 53 次 KSK 仪式的一部分,计划在 2024 年 4 月 26 日生成新密钥。该密钥将在 2024 年第 3 季度被复制到一套备用设施上。IANA 计划从 2025 年 1 月开始在 DNS 中预发布该密钥。在 2026 年底投入生产使用之前,它将在约两年时间内处于备用状态。在此期间,ICANN 将开展大规模的宣传活动,以便全球互联网社群都能无缝过渡到新密钥。
首次密钥更改(又称轮转)在 2018 年完成。这次轮转被认可获得了成功,随后又经过了多年的协商、设计和测试。今年 4 月生成新密钥则是该计划下一次迭代的第一步。
如需了解更多信息,请访问专属网页。
DNS 的安全性和稳定性需要能够更改密钥的能力。根 KSK 的轮转(即用一个密钥替换另一个密钥的流程)有助于执行这套机制,以确保实施运营筹备工作。
新密钥将使用目前使用的相同加密算法和密钥大小。另一独立项目也正在进行中,旨在设计用于调整根区签名加密算法的流程。这将为该领域的未来变化提供参考信息。
您可以订阅 KSK 轮转电子邮件清单,参与涉及 KSK 更改的讨论。
ICANN 简介
ICANN 的使命在于确保全球互联网的稳定、安全与统一。在互联网上寻找另一个人的信息,您必须在您的电脑或其他设备中键入一个地址——可以是一个名称或是一串数字。这一地址必须是独一无二的,只有这样电脑之间才能互相识别。ICANN 则负责协调这些分布在全球各地的唯一标识符。ICANN 成立于 1998 年,是一家非营利公益型企业,其成员遍布全球各地。