洛杉矶——2018 年 8 月 22 日——随着 ICANN 正在紧锣密鼓地筹备保护互联网域名系统 (DNS) 的首轮密钥变更事务,该机构现已发布一份指南,帮助人们了解即将发生的变化。
这轮密钥变更,又称之为"根区密钥签名密钥 (KSK) 轮转",目前预定在 2018 年 10 月 11 日进行。ICANN 编制的这份新指南旨在为拥有不同技术背景的人员介绍情况。此举通过详细介绍即将发生的变化,将帮助所有人做好准备。此举属于 ICANN 的一项持续努力,旨在提高人们对轮转的意识,并对轮转流程进行详细介绍。
如需查看这份指南,请点击此处 [PDF, 232 KB]。最能从本指南中受益的人员是在轮转发生后,需要寻求明确查询指导的验证解析器运营商。非技术背景记者、博客撰写人和其他希望报道轮转发生前后情况的人员也将从这份指南中获益。此外,这份文件还可供研究人员所用,供其在轮转发生后,监督域名系统的解析器所发生的故障。
尽管 ICANN 预计根区 KSK 轮转给用户所带来的影响应是最低限度的,但仍旧会有很小比例的互联网用户将会在解析域名的过程中碰到困难,简言之,他们在上网时会碰到问题。目前,有一小部分域名系统安全扩展 (DNSSEC) 验证递归解析器的配置是错误的,因此依赖这类解析器的用户将可能遇到问题。这份文件描述了哪些用户最容易碰到问题,且他们在不同时段可能会碰到哪些类型的问题。小结:
不会受到影响的用户:
- 使用新的 KSK 的解析器用户
- 不使用 DNSSEC 验证的解析器用户
将会受到影响的用户和理由:
- 如果用户所用的解析器在信任锚的设置中并没有新的 KSK,则用户将在轮转发生后 48 小时内遇到域名解析故障的情况(通常显示为"服务器故障"或"SERVFAIL"的错误提示)。注释:我们无法预测受影响的运营商何时将会注意到验证无效的情况。
数据分析显示,超过 99% 的用户的验证解析器将不会受到 KSK 轮转的影响。轮转后,使用至少一个轮转就绪的解析器的用户们将不会在使用 DNS 或互联网时碰到问题。(不执行 DNSSEC 验证的解析器的用户也不会受到影响。目前估计,使用不执行 DNSSEC 验证的解析器的用户大约占到了全体用户的三分之二。)
最后,本次轮转预订在 2018 年 10 月 11 日进行,但该日期尚待 ICANN 董事会最终批准。
##
如需继续了解 KSK 轮转的进展,请点击此处:https://www.icann.org/resources/pages/ksk-rollover
社交媒体关键词:#Keyroll
###
ICANN 简介
ICANN 的使命在于确保全球互联网的稳定、安全与统一。在互联网上寻找另一个人的信息,您必须在您的电脑或其他设备中键入一个地址——可以是一个名称或是一串数字。这一地址必须是独一无二的,只有这样电脑之间才能互相识别。ICANN 则负责协调这些分布在全球各地的唯一标识符。ICANN 成立于 1998 年,是一家非营利公益型企业,其社群成员遍布全球各地。