ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

网络运营商和 ISP 须知:确定您已为根区 KSK 轮转做好准备!

2017 年 09 月 7 日
作者:

本部分内容不仅提供联合国六种官方语言版本,还提供以下语言版本

网络运营商和互联网服务提供商 (ISP) 仍然有时间来测试其递归解析器,以确定其已为旨在保护域名系统 (DNS) 而即将进行的加密密钥变更做好准备。

运营商可使用 ICANN 部署的试验床来确认其已启用 DNSSEC 验证的解析器将恰当实施即将进行的根区域名系统安全扩展 (DNSSEC) 密钥签名密钥 (KSK) 轮转。

ICANN 已于 2017 年 3 月启动测试平台,专用于供网络运营商和其他利益相关方验证其系统是否能够处理根区 KSK 轮转相应的信任锚自动更新流程。

要参与测试,网络运营商和 ISP 需加入电子邮件清单,以便了解应采取什么步骤和何时执行测试。可在任何时刻加入电子邮件清单,但是整个测试需要约 45 天,最重要的结果将在测试开始后约 30 天提供。

由于 KSK 轮转计划于 2017 年 10 月 11 日实施,我们鼓励已启用 DNSSEC 验证的递归解析器运营商确保使用配置为信任锚的新根区 KSK 更新其系统。如果其系统不支持或未正确实施信任锚自动更新协议,则必须手动配置信任锚。如果递归解析器的信任锚未更新,则使用该递归解析器的所有客户端将出现 DNS 解析失败的情况,从而导致所有查询都返回“未找到主机”或类似的错误消息。

ICANN 已发布用于检查常用递归解析器实施情况的说明,以确定新根区 KSK 是否恰当配置为信任锚。

此外,ICANN 还发布了配置最常用递归解析器实施情况的说明,以使用自动信任锚协议与最新根区 KSK 保持一致。

您可通过点击此处访问我们的网页,以了解更多关于根区 KSK 轮转的信息。您也可以通过点击此处访问试验床页面,或通过 automated-ksk-test@research.icann.org

Authors

Matt Larson

Matt Larson

VP, Research