签名以公布根区域的提议

这是一项使用域名系统安全扩展 (DNSSEC) 技术对根区域文件进行签名的提议 [276K 的英文 PDF] ， ICANN 今天发布了这项技术。

软件通过 DNSSEC 技术可以确认，域名系统 (DNS) 数据在互联网传输过程中未经修改。这项技术的 实现是通过将公钥 - 私钥签名密钥对并入 DNS 层次结构，从而在根区域产生一个信任链。重要的是， DNSSEC 并不是一种加密技术。这项技术与 DNS 后向兼容，记录保持其未加密状态。 DNSSEC 使用能够证实真实性的数字签名来确保记录的完整性。

本提议经 ICANN 董事会授权由 ICANN 员工撰写，目标是以适当的速度开始在根一级部署 DNSSEC ， 以此作为朝着改进 DNS 的总体安全性迈进的一步。

ICANN 总裁兼首席执行官保罗 · 图米 (Paul Twomey) 说： “ 该提议已经过一个全球 DNSSEC 专家组的评审。 ICANN 从这个专家组得到的反馈意见表明，该提议在技术上是合理和适当的。 ”

DNSSEC 的核心在于 “ 信任链 ” 的概念。 ICANN 的提议基于这一概念和以下建议，即实体应负责对根 区域文件进行更改、增加和删除并确认所作更改是有效的，实体还应生成并对由此产生的根区域文件更新进行数字签名 。然后，将这个经过签名的文件转给另一个组织（目前是 VeriSign Corporation ） 进行发布。换句话说，最初负责构建信任基础的组织也应该在发布最终产品之前对相应产品进行身份验证，信任基础的构建是和顶级域运营商一起确认根区域的更改。

这项技术的发布恰逢美国商务部就根区域签名的概念发出质询通知。详情可以访问： http://edocket.access.gpo.gov/2008/pdf/E8-23974.pdf [72K 英文 PDF] 。

图米博士说： “ ICANN 在生成经过签名的根区域这一领域具有一年以上的经验，所生成的根区域 由 DNS 软件供应商和关注 DNSSEC 的社群进行过广泛的测试。此外， ICANN 还配备了一个具有世界水平的 DNS 专家组。 ”

图米博士还说： “ 现在是解决 DNS 系统的稳定性和安全性问题的时刻，我们面临着挑战和机遇；而解决这一问题正是 ICANN 的使命所在。 ”

为了帮助读者阅读本提议，还发布了有关什么是 DNSSEC 技术、这项技术为什么重要等一系列问题和解答。

相关链接：

ICANN 的提议： http://www.icann.org/en/announcements/dnssec-proposal-09oct08-en.pdf [ 仅英文版 ]

DNSSEC 问题和解答： http://www.icann.org/zh/announcements/dnssec-qaa-09oct08-zh.htm

美国商务部的质询通知： http://edocket.access.gpo.gov/2008/pdf/E8-23974.pdf [ 仅英文版 ]

关于 ICANN ：

若要通过互联网联系他人，就必须在计算机中键入一个地址（以名称或数字表示）。该地址必须是唯一的，这样计算机才能确定彼此的位置。 ICANN 负责在全球范围内协调此类唯一标识符。如果没有这种协调，我们就不会拥有统一的全球互联网。 ICANN 负责互联网唯一标识符系统的全球协调，比如域名（如 .org 、 .museum 和国家 / 地区代码，如 .uk ）和在各类网络协议中使用的、有助于计算机在互联网上彼此联络的地址。

ICANN 成立于 1998 年，是一个国际化的非营利性公益机构，致力于保持互联网的安全性、稳定性和互操作性 。 ICANN 鼓励竞争并制定与互联网唯一标识符相关的政策。

ICANN 不控制互联网上的内容。它无法阻止垃圾邮件，也不处理与互联网访问相关的事宜。不过，通过在互联网命名系统中起协调作用， ICANN 对互联网的发展和进步产生了实实在在的重大影响。

媒体联系人：

Jason Keenan
ICANN 媒体顾问
电话： +1 310 382 4004
电子邮件： jason.keenan@icann.org