互联网名称与数字地址分配机构 (Internet Corporation for Assigned Names and Numbers, ICANN) 欣然发布根区域名系统安全扩展 (Domain Name System Security Extensions, DNSSEC) 算法轮转研究的《最终报告》。由员工和志愿者构成的设计团队负责编写此报告,针对加密算法的选取以及如何在 DNS 根区进行轮转提出了一系列建议。
随着本报告的发布,ICANN 将利用其研究成果对用于签署根区的算法进行修改。设计团队的建议预计不会影响目前正在进行的密钥签名密钥 (Key Signing Key, KSK) 轮转流程,但将用于后续轮转流程。在当前的轮转流程中,由于供应商决定退出此业务,因此我们需要更换用于存储 KSK 的密钥设备(又称硬件安全模块或 HSM)。
ICANN 的目标是在正常运行时每三年进行一次轮转。鉴于此,下一个密钥将在 2027 年左右生成。在此之前,ICANN 则将根据设计团队的建议评估当前签名算法的适用性。 这一时间表为 ICANN 和根区管理合作伙伴提供了充足时间来确定更改算法所需的运行计划和系统。
DNS 的安全性和稳定性需要能够更改密钥的能力。根 KSK 的轮转(即用一个密钥替换另一个密钥的流程)执行这套机制以确保开展运营筹备。
如需参与有关 KSK 轮转的讨论,请订阅 KSK 轮转的邮件清单。
ICANN 简介
ICANN 的使命在于确保全球互联网的稳定、安全与统一。在互联网上寻找另一个人的信息,您必须在您的电脑或其他设备中键入一个地址——可以是一个名称或是一串数字。这一地址必须是独一无二的,只有这样电脑之间才能互相识别。ICANN 则负责协调这些分布在全球各地的唯一标识符。ICANN 成立于 1998 年,是一家非营利公益型企业,其成员遍布全球各地。