Skip to main content
Resources

根区 KSK 轮转

Root Zone KSK Rollover

概述
资源
积极参与
背景
拟定时间表
运营计划

新闻

2017 年 9 月 27 日 – KSK 轮转推迟

2017 年 9 月 7 日 – 网络运营商和 ISP 请注意:确定您已准备好进行根区 KSK 轮转!

2017 年 3 月 15 日 – 2017 年 DNSSEC 密钥交换:ICANN 建立了解析器测试页面 [最初位于德国] (Heise)

2017 年 3 月 14 日 – 关于 ICANN 推出的新根区 KSK,小型企业需要知道哪些信息(Biz Tech 杂志)

2017 年 3 月 13 日 – ICANN 启动 KSK 轮转测试平台

2016 年 10 月 27 日 – KSK 轮转运营开始

查看更多新闻。

概述

按照根区 KSK 运营商 DNSSEC 规范声明[TXT, 99 KB] 的要求,ICANN 正计划实施根区域名系统安全扩展 (DNSSEC) 密钥签名密钥 (KSK) 轮转。

轮转 KSK 意味着会生成一对新的加密公钥和私钥,并且会向运营验证解析器的各方分发公共组件,包括:互联网服务提供商;企业网络管理员和其他域名系统解析器 (DNS) 运营商;DNS 解析器软件开发商;系统集成商;以及安装或安置根区"信任锚"的硬件和软件经销商。KSK 用于对根区签名密钥 (ZSK) 以密码方式进行签名,而根区签名密钥由根区维护人用于对互联网 DNS 的根区进行 DNSSEC 签名。

保持更新 KSK 是确保经 DNSSEC 签名的域名在开始轮转后能够继续验证的必要条件。 未获得当前根区 KSK 意味着支持 DNSSEC 的验证者将无法确认 DNS 响应未被篡改,因此其将向所有经 DNSSEC 签名的查询返回错误响应。

KSK 轮转计划由根区管理合作伙伴(ICANN 担任 IANA 职能运营商,Verisign 担任根区维护人,美国商务部下属的国家电信和信息管理局 (NTIA) 担任根区管理人)制定。KSK 轮转计划将纳入社群根区 KSK 轮转设计团队的建议 [PDF, 1.01 MB],并对这些建议进行调整以满足运营要求和约束条件。现在既已共同制定出轮转计划,未来 KSK 轮转将由 ICANN 按照这些计划进行。

资源

如需了解相关信息和其他资源,请访问:

积极参与

提问
将您的疑问以电子邮件发送至 globalsupport@icann.org,并在主题栏中标示"KSK 轮转"字样。

参加活动
查看活动日程表,了解即将举行的 KSK 轮转演讲。

通过社交媒体参与
通过话题标签 #KeyRoll 参与对话:https://twitter.com/icann

加入 KSK 轮转讨论清单
注册加入电子邮件清单,对相关问题进行公开讨论:https://mm.icann.org/listinfo/ksk-rollover

宣传
与他人分享本网页,帮助其了解 KSK 轮转及其对他们的影响。

背景

2009 年,RZM 合作伙伴共同在根区部署了 DNSSEC,该项工作以 2010 年 7 月首次发布经验证的签字根区而告终。

NTIA 已规定了生成和维护根区 KSK 的要求 [PDF, 116 KB] 以及 RZM 合作伙伴各自的责任。根区维护人 (Verisign) 和 IANA 职能运营商 (ICANN) 制定的满足这些要求的程序发布在单独的 DNSSEC 规范声明 (DPS) 中:Verisign DNSSEC 签名服务 DPS[PDF, 138 KB] 和根区 KSK 运营商 DPS [TXT, 99 KB]。

NTIA 和 ICANN 之间的《IANA 职能合同》已于 2010 年 7 月修改为包含与根区 KSK 管理相关的责任,而且这些要求已纳入该合同的后续修订版中。

此外,NTIA 和 Verisign 之间的合作协议也于 2010 年 7 月进行修改,以反映 Verisign 根区 ZSK 运营商的责任。

《IANA 职能合同》要求 ICANN 实施根区 KSK 轮转,但并未提供具体的要求,或详细的时间表或实施计划。根区 KSK 运营商 DPS 包含该声明,并对第 6.5 节的轮转提出了要求:

"各 RZ KSK 将按计划根据需要或每运营 5 年通过密匙仪式进行轮转。"

拟定时间表

这些时间安排可能基于运营考量进行变更。

  • 2016 年 10 月 27 日: 新 KSK 已生成,开始 KSK 轮转流程。
  • 2017 年 7 月 11 日: 在 DNS 中发布新 KSK。
  • 2017 年 9 月 19 日: 域名系统秘钥 (DNSKEY) 从根名称服务器上获得响应的规模扩大。
  • 更多时间安排将在根 KSK 轮转项目计划更新后发布

运营计划

  1. 2017 年 KSK 轮转运营实施计划 [PDF, 741 KB] — 详细描述完成 2017 年 KSK 轮转项目的运营步骤,包括八个阶段流程的时间表。- 此文档目前正在更新,以反映于 2017 年 9 月 27 日公布的 KSK 轮转推迟。
  2. 2017 年 KSK 轮转撤销计划 [PDF, 506 KB] — 基于实施运营计划期间发生的异常现象描述与运营实施计划之间的预期偏差。- 此文档目前正在更新,以反映于 2017 年 9 月 27 日公布的 KSK 轮转推迟。
  3. 2017 年 KSK 轮转外部测试计划 [PDF, 516 KB] — 包括准备互联网大众访问的运营测试环境,以评估外部系统是否准备好进行 KSK 轮转。
  4. 2017 年 KSK 轮转监测计划 [PDF, 437 KB] — 描述根区信任锚变更对流向根服务器的流量所产生的影响的监测计划。
  5. 2017 年 KSK 轮转系统测试计划 [PDF, 519 KB] — 描述测试 KSK 轮转涉及到的 ICANN 基础架构变更所需采取的措施。

沟通计划

ICANN 正在开展广泛的外展活动,以确保当前使用 KSK 的用户知晓更改事宜。

Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."