ICANN 组织认定,2018 年 10 月 11 日面向全球域名系统 (DNS) 启动的域名系统安全扩展 (DNSSEC) 信任锚更新仅会对极少数 DNS 用户造成影响。经过大量外展工作并仔细考量各类可用数据后,最终决定实施根区密钥签名密钥 (KSK) 轮转。
自 2010 年首次签署 DNS 根区开始,DNSSEC 实践和政策声明1已设定预期,指出根区 KSK 将做出调整。幸运的是,在监测新根区 KSK 的验证解析器中,大多数应当能够自动使用"DNS 安全 (DNSSEC) 信任锚的自动化更新"(如 RFC5011 所示)将其配置为新的信任锚2。此外,如果意识到根 KSK 会根据 ICANN 的各类外展工作发生变化,解析器运营商还可以手动更新其信任锚配置。
目前尚未确立主动衡量验证解析器是否配置正确信任锚集合的标准化或确定性方法。现行的最佳方法是"DNS 安全扩展中的信令信任锚知识"(如 RFC 8145 所示3),此方法已于 2017 年 4 月发布。在该协议中,验证器会发出 DNS 查询,查询名称中包含配置的信任锚的 DNSKEY 密钥 ID。用户可以在根服务器流量中监测这些查询。2017 年 9 月,仅有少量解析器采用此协议,信任锚公告显示信任锚配置错误比例高于最初预期。但是,当时监测到的信令并未得到充分理解,因此 ICANN 组织决定延迟根区 KSK 轮转,以期在技术社群的帮助下更全面地理解信令。
经 ICANN 组织首席技术官办公室 (OCTO) 团队及其他人员进一步研究发现,RFC 8145 数据的质量令人堪忧。例如,报告发送至传送器的信任锚信息的 DNS 查询的处理方式与其他各类查询并无不同,无论传送器是否经过验证均将发送至根服务器。比如,即使未配置解析器执行验证,某常用 DNS 解析器实施也会向旧信任锚发出信令,因而不会经过新信任锚。在随后的软件版本中,此实施决策被撤销。又如,某知名 DNS 解析器库会向信任锚发出信令,但无法自动更新其信任锚配置。因而,在一段时间内,采用该 DNS 解析器库单一部署常用单用户 VPN 实施会从不同的源地址发出旧信任锚信令。南加州大学信息科学研究所的 Wes Hardaker 发现了这一行为,采用此库的供应商接到通知并更新了他们的软件。此更改显著减少了报告旧信任锚的源数。4
但是,RFC 8145 数据仅报告解析器;不指示依赖这些解析器的最终用户数。为了解验证解析器的用户群体规模,亚太地区互联网注册管理机构 (APNIC) 采用测量系统,利用 Google 广告网络查询 DNS。分析 ICANN 信任锚信令源与其自身解析器源的交集并进行推断,经 APNIC 计算发现,仅有 0.05% 的互联网用户受到根 KSK 轮转的负面影响。5
展望未来,ICANN 组织的互联网服务提供商 (ISP) 很快将达到 1,000 家,解析器流量极为活跃,表明已启用 DNSSEC 验证以便确保他们意识到将于 2018 年 10 月 11 日实施根 KSK 轮转。另外,还将对这些 ISP 开展调查,检查他们的轮转预备计划,这样解析器运营商可能更充分地了解 KSK 轮转。
自 2015 年首次宣布实施信任锚轮转计划以来,ICANN 组织一直坚持开展外展活动,迄今已在国际、地区和国家会议上举办过近 100 场演讲活动,并在技术出版物中发表 150 余篇新闻报道。同时,ICANN 组织还发布了九篇关于信任锚轮转的博客文章,今后将继续寻找网络中设有验证解析器但似乎未配置新信任锚(RFC 8145 数据)的 ISP。
经过以上多番努力及收集的数据,ICANN 组织进一步坚定信念,定于 2018 年 10 月 11 日开展的根 KSK 轮转可能只会对极少 DNS 用户带来影响。
1 https://www.iana.org/dnssec/icann-dps.txt
2 https://datatracker.ietf.org/doc/rfc5011/
3 https://datatracker.ietf.org/doc/rfc8145/
4 http://root-trust-anchor-reports.research.icann.org/
5 http://www.potaroo.net/ispcol/2018-04/ksk.pdf [PDF, 184 KB]
