本文是第一次介绍根区 KSK 轮转项目状态的最新信息,之后还会持续报道。这样做是为了让社群持续了解我们轮转工作的最新进展。
2017 年 9 月 27 日,ICANN 组织宣布推迟根区 KSK 轮转。最近(10 月 17 日),我们发布了一份名为 [PDF, 173 KB]《推迟根区 KSK 轮转》的文件,进一步详细介绍了我们收到的关于影响决策的一些解析器的配置、我们的分析以及推迟背后的理由。
正如我们在该 [PDF, 173 KB] 文件中所述,最新版本的 BIND 和 Unbound 递归解析器执行 RFC 8145 [TXT, 27 KB](DNS 安全扩展 [DNSSEC] 的信任锚报告信息)中定义的协议,允许解析器报告其信任锚配置。支持此功能的解析器会报告其为根域名服务器配置的根区信任锚。在之前预定的轮转日期(2017 年 10 月 11 日)前几周,对这份报告的信任锚数据进行的分析表明,未将 KSK-2017(下一个根区 KSK 的简称)配置为信任锚的解析器数量可能比预期要多,这令人担忧。轮转开始后,这些解析器将无法解析 DNS 查询。
首席技术官办公室 (OCTO) 的研究小组分析了 2017 年 9 月全月 B、D、F 和 L 根服务器的流量,发现有 11,982 个唯一 IP 地址(8,908 个 IPv4 和 3,078 个 IPv6)发送了信任锚配置信息。其中有 620 个地址报告仅配置了 KSK-2010(当前根区 KSK 的简称)。进一步分析显示,我们可以消除一些误报:出于各种原因未表示执行 DNSSEC 验证的递归解析器的 IP 地址。我们将可能错误地配置了递归解析器的地址减少到了 500 个。我们想要联系这些运营商。联系他们主要有两个原因:了解其解析器报告仅配置了 KSK-2010 的原因,并在适当情况下帮助他们纠正配置,以为轮转做好准备。
一开始我们计划公布此地址列表,以谋求社群的帮助。经过进一步反思后,我们意识到这个列表可能会被断章取义,让人误会我们试图"点名羞辱"错误地配置了系统的运营商,这完全违背了我们的意图。因此,我们决定先尝试自行联系管理人。根据结果,我们可能需要公布无法联系到管理人的地址列表。
根据上述 9 月份分析的数据,4.1% 的 IP 地址报告仅配置了 KSK-2010。(在互联网上的所有解析器中,仅配置了 KSK-2010 的实际比例可能更高,因为目前只有极少数报告了信任锚配置。)我们希望通过我们的调查和缓解措施,显著提高这一比例。由于我们不知道能够联系到多少管理人,因此我们还不想设定目标比例。
值得注意的是,该值代表解析器而非最终用户的百分比,而对最终用户的影响才是最重要的。发布的运营规划 [PDF, 741 KB] 中用于在出现问题时从轮转中撤出的标准提到了对最终用户的影响:
如果在每次变更部署到根区后 72 小时,测量程序显示有相当一部分估计的互联网最终用户群体受到了变更的负面影响,则 ICANN 将考虑撤销密钥轮转流程的任何步骤。
这些标准部分来源于根区 KSK 轮转设计团队的建议,该团队由 ICANN 召集以帮助规划轮转,其报告 [PDF, 1.2 MB] 包括这条以最终用户为中心的建议:
建议 16:如果在每次变更部署到根区后 72 小时,测量程序显示至少有 0.5% 的估计互联网最终用户群体受到了变更的负面影响,则应该回退密钥轮转流程中的任何步骤。
在这个流程中,我们认为对最终用户的影响比仅报告 KSK-2010 的解析器所占绝对百分比更重要。在我们尽可能多地联系解析器运营商之后,我们将尝试确定受到尚未报告 KSK-2017 的剩余解析器影响的最终用户数量。虽然很难确定使用特定解析器的最终用户数量,但我们有几个想法和数据来源,可帮助完成这项任务。
我们会在未来的博文中报告更多有关这些工作和其他发展情况的信息,让社群持续了解我们的最新进展。
