2017 年 3 月 13 日 - 随着根区域名系统安全扩展 (DNSSEC) 密钥签名密钥 (KSK) 轮转即将开始实施,ICANN 现推出轮转测试平台,供网络运营商和其他利益相关方验证其系统是否能够处理相应的自动更新流程。KSK 轮转暂定于 2017 年 10 月 11 日实施。
"目前,使用支持 DNSSEC 验证的解析器的用户多达 7.5 亿,他们全都可能受到 KSK 轮转的影响,"ICANN 研发副总裁迈特·拉森 (Matt Larson) 说道,"测试平台让运营商可以轻松验证其基础实施是否无需人工干预就能处理轮转事宜。"
互联网服务提供商、网络运营商和已启用 DNSSEC 验证的其他各方必须使用新 KSK 来更新自己的系统。更新方式有两种:
- 运营商可以从 iana.org 网站获取新的根区 KSK(网址:https://www.iana.org/dnssec/files),然后手动配置新的信任锚。
- 运营商可以启用一项功能,该功能在许多验证解析器中均可用,它能够自动检测到新的根区 KSK 并将其配置为信任锚。如采用这种方式,运营商无需再进行其他任何操作即可完成系统更新。
请访问 go.icann.org/KSKtest,检查您的系统是否已准备好测试。
KSK 已广泛分配至实施 DNSSEC 验证的每一位运营商并经过运营商配置。如果 KSK 轮转时使用 DNSSEC 的验证解析器没有新的密钥,基于这些解析器的终端用户将遇到错误且无法访问互联网。因此,运营商必须仔细谨慎并多方协调,确保系统更新不会对正常运营造成干扰。
更多信息请访问 www.icann.org/kskroll。