到今年年底,域名系统 (Domain Name System, DNS) 根区将包含额外的数据,从而为网络运营商提供用于验证其内容的新机制。该新机制依赖于标准化的“消息摘要”,这种面向软件的数学方法用于验证软件是否具有完整而且没有损坏的数据副本。这种消息摘要数据在根区中表示为“ZONEMD”记录,它看似难以辨认,却提供了软件验证根区的内容所需的信息。
. 86400 IN ZONEMD 2023091300 1 1 (
FEBE3D4CE2EC2FFA4BA99D46CD69D6D29711E55217057BEE
7EB1A7B641A47BA7FED2DD5B97AE499FAFA4F22C6BD647DE )
分阶段的方法
为了在 2023 年 9 月 13 日推出该新功能,根区将开始使用新的消息摘要数据进行发布。在前几个月里,消息摘要将有意设置为不可验证。就像在 2010 年将域名系统安全扩展 (Domain Name System Security Extensions, DNSSEC) 添加到根区一样,现在又是一个机会,可以在任何人依靠任何重要软件开展工作之前,使用新记录确定此类软件是否存在问题。
在提供记录几个月后,我们预计从 2023 年 12 月 6 日开始,根区将采用完全可验证的 ZONEMD 记录进行发布。此那时起,下载根区完整副本的任何人都可以使用该机制,在使用前确认自己具有准确的副本。
带来的影响
除非您具有可从 ZONEMD 获益的特定用例,否则此项变更对您没有影响。根区的日常运行不会受到影响,传统 DNS 的使用也将一如既往。但是,ZONEMD 确实为应用提供了增强的保护功能,例如使用“超本地”技术的解析器,该技术依靠下载根区的副本才能正常运行。
根区发展审核委员会的作用
ZONEMD 的推出是根据根区发展审核委员会 (Root Zone Evolution Review Committee, RZERC) 的建议在根区中实施的第一项新功能。该委员会于 2016 年成立,由众多 ICANN 社群团体的代表组成,他们向 ICANN 提供有关根区重大架构和运营变更方面的建议。RZERC 的建议支持在根区中实施 ZONEMD。他们的建议还鼓励软件的实施者实施 ZONEMD,并考虑默认情况下为本地服务的根区数据启用 ZONEMD。
对于网络运营商
我们的根区管理合作伙伴 Verisign 已经向主要的 DNS 运营社群发布有关功能推出细节的通知。我们将继续与他们密切合作,监控这些变更所导致的任何体验,并相应地调整我们的运营计划。
