Skip to main content
Resources

根区密钥签名密钥 (KSK) 轮转

Root Zone KSK Rollover

概述
资源
参与
背景
日程表草案
运营规划
沟通计划

技术方面的资讯更新

2018 年 2 月 1 日 – 继续执行密钥签名密钥 (KSK) 轮转拟定计划现已公布

2017 年 12 月 18 日 – 根区 KSK 轮转计划更新

2017 年 10 月 17 日 – 推迟根区 KSK 轮转

2017 年 9 月 27 日 – ICANN 宣布推迟 KSK 轮转

2017 年 9 月 4 日 – 查看 DNS 验证解析器中的当前信任锚

2017 年 9 月 4 日 – 使用最新的信任锚更新 DNS 验证解析器

2017 年 7 月 11 日 – KSK-2017 在 DNS 中发布

概述

ICANN 计划按照根区 KSK 运营商 DNSSEC 实践声明 [TXT,99 KB] 中的要求执行根区域名系统安全扩展 (DNSSEC) KSK 轮转。

轮转 KSK 意味着生成新的加密公钥和私钥对,并将新的公共组件分发给负责运营验证解析器的相关方,包括:互联网服务提供商、企业网络管理员和其他域名系统 (DNS) 解析器运营商、DNS 解析器软件开发商、系统集成商,以及安装或装载根"信任锚"的硬件和软件分销商。KSK 被用于对"域签名秘钥 (ZSK)"进行加密签名——根区维护人使用 ZSK 对互联网 DNS 中的根区进行 DNSSEC 签名。

维护最新版 KSK 对于确保使用 DNSSEC 验证的 DNS 解析器稳定运行至关重要,这使其能够在秘钥轮转之后继续提供验证服务。未能拥有最新的根区 KSK 将会导致使用 DNSSEC 验证的 DNS 解析器无法解析任何 DNS 查询。

KSK 轮转计划是由根区管理合作伙伴制定的;ICANN 在其中充当 IANA 职能运营商的角色,Verisign 是根区维护人,美国商务部下属的美国国家电信和信息管理局 (NTIA) 则担任根区管理员。其中,NTIA 的角色已于 2016 年 10 月 1 日结束。KSK 轮转计划是在 2016 年 7 月公布的,其中融入了社群根区 KSK 轮转设计团队建议 [PDF,1.01 MB]。

资源

如需了解相关信息和更多资源,请访问:

参与

问题咨询
请发送电子邮件至 globalsupport@icann.org,并在主题行中包含"KSK Rollover"字样,以提交您的问题。

参加活动
请查看活动日程表找到即将举行的 KSK 轮转演示。

社交媒体互动
使用标签 #KeyRoll 加入会话:https://twitter.com/icann

加入 KSK 轮转讨论组
注册相关问题的公共讨论电子邮件组:https://mm.icann.org/listinfo/ksk-rollover

积极宣传
将此网页共享给他人,可帮助他们了解 KSK 轮转的相关信息,以及 KSK 轮转可能会给他们带来哪些影响。

背景

2009 年,RZM 合作伙伴通过协作在根区部署了 DNSSEC,并最终于 2010 年 7 月首次发布了经过验证的已签名根区。

NTIA 针对生成和维护根区 KSK 提出了相关 要求 [PDF,116 KB],并明确了每个 RZM 合作伙伴各自的职责。根区维护人 (Verisign) 和 IANA 职能运营商 (ICANN) 满足这些要求需遵循的规程分别在单独的 DNSSEC 实践声明 (DPS) 中发布:Verisign DNSSEC 签名服务 DPS [PDF,138 KB] 和根区 KSK 运营商 DPS [TXT,99 KB]。

NTIA 与 ICANN 之间的 IANA 职能合同于 2010 年 7 月经过修改,在其中加入了与根区 KSK 管理相关的职责,并且这些要求在此合同的后续修订版本中也继续得以施行。

NTIA 与 Verisign 之间的合作协议也在 2010 年 7 月进行了修改,以反映 Verisign 所承担的根区 ZSK 运营商职责。

IANA 职能合同要求进行根区 KSK 轮转,但未提供详细的要求,也没有详细的时间表或实施计划。根区 KSK 运营商 DPS 中包含如下声明,在第 6.5 节中提出了有关轮转的要求:

"每个根区 KSK 都将按照要求进行安排,通过密钥仪式进行轮转,或在运营 5 年后进行轮转。"

时间表

以下时间安排可能因运营方面的考虑而有所变化。

  • 2016 年 10 月 27 日:生成新 KSK,KSK 轮转过程开始。
  • 2017 年 7 月 11 日:发布 DNS 中的新 KSK。
  • 2017 年 9 月 19 日:增加大小以应对根名称服务器的 DNSKEY 响应。
  • 2018 年 2 月 1 日:继续 KSK 轮转计划的公共评议期开始,将于 2018 年 4 月 2 日结束。
  • 将在更新根区 KSK 轮转计划时公布更多相关日期

运营规划

  1. 2017 KSK 轮转运营实施计划[PDF,741 KB] - 详细说明了完成 2017 KSK 轮转计划所需执行的运营步骤,包括八个阶段流程的时间表。- 此文档目前正在进行更新,以反映 2017 年 9 月 27 日宣布的相关推迟事宜。
  2. 2017 KSK 轮转备份恢复计划[PDF,506 KB] - 根据执行运营计划时发生的异常情况,说明预期可能会出现的偏离运营实施计划的情况。- 此文档目前正在进行更新,以反映 2017 年 9 月 27 日宣布的相关推迟事宜。
  3. 2017 KSK 轮转外部测试计划[PDF,516 KB] - 内容涵盖如何准备运营测试环境(由一般互联网用户访问),以评估外部系统是否已准备就绪可以参加 KSK 轮转。
  4. 2017 KSK 轮转监控计划[PDF,480 KB] - 说明在与根服务器的通讯流量中,如何对更改根区信任锚的效果进行监控。
  5. 2017 KSK 轮转系统测试计划[PDF,519 KB] - 说明在 KSK 轮转过程中涉及对 ICANN 基础设施的更改进行测试时,需要执行哪些操作。

沟通计划

ICANN 正在执行广泛的外展活动,以确保当前正在使用 KSK 的用户知道这一变更。

新闻存档

2016 年 10 月 3 日– ICANN 将首次生成新的 DNSSEC 密钥 (InfoWorld)

2016 年 9 月 19 日 – 维护网络安全的加密密钥首次进行更换 (Motherboard)

2016 年 9 月 15 日 – ICANN 为主要 DNSSEC 安全更新准备网络环境 (V3)

2016 年 8 月 25 日 – 维护互联网安全的 DNSSEC 主密钥即将更改。我们需要担心吗?(Techworld)

2016 年 7 月 22 日 – DNSSEC:轮转根区密钥签名密钥

2016 年 7 月 20 日 – ICANN 将更换互联网安全密钥 (Domain Incite)

2016 年 6 月 21 日 – 安全最佳实践:DNSSEC 验证

2016 年 5 月 9 日 – 更改域名系统 (DNS) 根区的密钥

Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."