根区密钥签名密钥 (KSK) 轮转

有关轮转状态的最新资讯，请参阅轮转状态页面。最新资讯将发送至：https://mm.icann.org/listinfo/ksk-rollover 电子邮件清单。如果您的解析器在进行轮转时遇到紧急问题，请直接参阅以下信息。

概述
资源
参与
背景
日程表草案
运营规划
沟通计划

技术方面的资讯更新

2018 年 ２ 月 1 日 – 继续执行密钥签名密钥 (KSK) 轮转拟定计划现已公布

2017 年 12 月 18 日 – 根区 KSK 轮转计划更新

2017 年 10 月 17 日 – 推迟根区 KSK 轮转

2017 年 9 月 27 日 – ICANN 宣布推迟 KSK 轮转

2017 年 9 月 4 日 – 查看 DNS 验证解析器中的当前信任锚

2017 年 9 月 4 日 – 使用最新的信任锚更新 DNS 验证解析器

2017 年 7 月 11 日 – KSK-2017 在 DNS 中发布

概述

ICANN 计划按照根区 KSK 运营商 DNSSEC 实践声明 [TXT，99 KB] 中的要求执行根区域名系统安全扩展 (DNSSEC) KSK 轮转。

轮转 KSK 意味着生成新的加密公钥和私钥对，并将新的公共组件分发给负责运营验证解析器的相关方，包括：互联网服务提供商、企业网络管理员和其他域名系统 (DNS) 解析器运营商、DNS 解析器软件开发商、系统集成商，以及安装或装载根"信任锚"的硬件和软件分销商。KSK 被用于对"域签名秘钥 (ZSK)"进行加密签名——根区维护人使用 ZSK 对互联网 DNS 中的根区进行 DNSSEC 签名。

维护最新版 KSK 对于确保使用 DNSSEC 验证的 DNS 解析器稳定运行至关重要，这使其能够在秘钥轮转之后继续提供验证服务。未能拥有最新的根区 KSK 将会导致使用 DNSSEC 验证的 DNS 解析器无法解析任何 DNS 查询。

KSK 轮转计划是由根区管理合作伙伴制定的；ICANN 在其中充当 IANA 职能运营商的角色，Verisign 是根区维护人，美国商务部下属的美国国家电信和信息管理局 (NTIA) 则担任根区管理员。其中，NTIA 的角色已于 2016 年 10 月 1 日结束。KSK 轮转计划是在 2016 年 7 月公布的，其中融入了社群根区 KSK 轮转设计团队建议 [PDF，1.01 MB]。

资源

如需了解相关信息和更多资源，请访问：

• 根区 KSK 轮转展望 [PDF, 232 KB]
• 快速指南： 准备系统以进行根区 KSK 轮转 [PDF, 182 KB]
• 查看 DNS 验证解析器中的当前信任锚
• 使用最新的信任锚更新 DNS 验证解析器
• DNSSEC 根区 KSK 建议 [PDF，1.01 MB]
• DNSSEC 信息页
• 人人都学 DNSSEC - 初学者指南 (ICANN55)
• DNSSEC 工作坊 (ICANN55)
• IANA - 根区管理
• SSAC 针对 DNSSEC 根区密钥轮转计划的咨询意见 [PDF，480 KB]
• 根区 KSK 轮转更新网络研讨会 – 演示者：迈特·拉森 (Matt Larson) [PDF，741 KB]
• 关于 2017 KSK 轮转 RFC 8145 信任锚信令的思考与研究 – 作者：来自 Verisign 的杜亚尼·韦瑟尔 (Duane Wessels) [PDF，895 KB]

参与

问题咨询
请发送电子邮件至 globalsupport@icann.org，并在主题行中包含"KSK Rollover"字样，以提交您的问题。

参加活动
请查看活动日程表找到即将举行的 KSK 轮转演示。

社交媒体互动
使用标签 #KeyRoll 加入会话：https://twitter.com/icann

加入 KSK 轮转讨论组
注册相关问题的公共讨论电子邮件组：https://mm.icann.org/listinfo/ksk-rollover

积极宣传
将此网页共享给他人，可帮助他们了解 KSK 轮转的相关信息，以及 KSK 轮转可能会给他们带来哪些影响。

背景

2009 年，RZM 合作伙伴通过协作在根区部署了 DNSSEC，并最终于 2010 年 7 月首次发布了经过验证的已签名根区。

NTIA 针对生成和维护根区 KSK 提出了相关 要求 [PDF，116 KB]，并明确了每个 RZM 合作伙伴各自的职责。根区维护人 (Verisign) 和 IANA 职能运营商 (ICANN) 满足这些要求需遵循的规程分别在单独的 DNSSEC 实践声明 (DPS) 中发布：Verisign DNSSEC 签名服务 DPS [PDF，138 KB] 和根区 KSK 运营商 DPS [TXT，99 KB]。

NTIA 与 ICANN 之间的 IANA 职能合同于 2010 年 7 月经过修改，在其中加入了与根区 KSK 管理相关的职责，并且这些要求在此合同的后续修订版本中也继续得以施行。

NTIA 与 Verisign 之间的合作协议也在 2010 年 7 月进行了修改，以反映 Verisign 所承担的根区 ZSK 运营商职责。

IANA 职能合同要求进行根区 KSK 轮转，但未提供详细的要求，也没有详细的时间表或实施计划。根区 KSK 运营商 DPS 中包含如下声明，在第 6.5 节中提出了有关轮转的要求：

"每个根区 KSK 都将按照要求进行安排，通过密钥仪式进行轮转，或在运营 5 年后进行轮转。"

时间表

以下时间安排可能因运营方面的考虑而有所变化。

• 2016 年 10 月 27 日：生成新 KSK，KSK 轮转过程开始。
• 2017 年 7 月 11 日：发布 DNS 中的新 KSK。
• 2017 年 9 月 19 日：增加大小以应对根名称服务器的 DNSKEY 响应。
• 2018 年 2 月 1 日：继续 KSK 轮转计划的公共评议期开始，将于 2018 年 4 月 2 日结束。
• 将在更新根区 KSK 轮转计划时公布更多相关日期

运营规划

1. 2017 KSK 轮转运营实施计划[PDF，741 KB] - 详细说明了完成 2017 KSK 轮转计划所需执行的运营步骤，包括八个阶段流程的时间表。- 此文档目前正在进行更新，以反映 2017 年 9 月 27 日宣布的相关推迟事宜。
2. 2017 KSK 轮转备份恢复计划[PDF，506 KB] - 根据执行运营计划时发生的异常情况，说明预期可能会出现的偏离运营实施计划的情况。- 此文档目前正在进行更新，以反映 2017 年 9 月 27 日宣布的相关推迟事宜。
3. 2017 KSK 轮转外部测试计划[PDF，516 KB] - 内容涵盖如何准备运营测试环境（由一般互联网用户访问），以评估外部系统是否已准备就绪可以参加 KSK 轮转。
4. 2017 KSK 轮转监控计划[PDF，480 KB] - 说明在与根服务器的通讯流量中，如何对更改根区信任锚的效果进行监控。
5. 2017 KSK 轮转系统测试计划[PDF，519 KB] - 说明在 KSK 轮转过程中涉及对 ICANN 基础设施的更改进行测试时，需要执行哪些操作。

沟通计划

ICANN 正在执行广泛的外展活动，以确保当前正在使用 KSK 的用户知道这一变更。

新闻存档