通过安全最佳实践确保顶级 DNS 的完整性
2010 年 7 月,ICANN、Verisign 和 NTIA 使用一项名为 DNSSEC(即域名系统安全扩展)的技术提高了对互联网顶级 DNS 的保护等级。这项技术的开发是为了保护互联网用户免受可能导致域名劫持和某些类型的服务器入侵的攻击。使用 DNSSEC 进一步保证了从 DNS 获取的信息在从数据源传输到代表用户提问的客户端的过程中没有被修改 — 这是通过数字签名和验证 DNS 数据实现的。此验证依赖于与该 DNS 的根有关的"信任锚"或密钥。
和其他密钥、密码或安全系统一样,信任锚必须定期进行更新。按照最佳实践,作为 IANA 职能运营商的 ICANN 团队以及其他根区管理合作伙伴(作为根区维护人的 Verisign 和作为根区管理人的美国商务部下属机构国家电信和信息管理局 [NTIA])已经在努力准备"轮转"或更改加密公/私密钥组 — 它是根区密钥签名密钥 (KSK),其公共部分用作互联网的 DNSSEC 信任锚。KSK 轮转意味着会生成新的密钥组,并向解析器开发商、经销商或运营验证机构分发公共组件。KSK 轮转可以视为是在更换房子的锁。如果域名是经 DNSSEC 签名的,那么每次互联网用户尝试连接由域名标识的服务器时,都会尝试用密钥来打开锁,以验证与域名有关的数据是否真实。但是,如果更换了锁,但密钥还没有更新,那么门就不会打开,该域名也无法解析,连接尝试就会失败。轮转的潜在影响强调了需要针对新 KSK 对信任锚进行广泛且充分的分发。为确保社群了解有关 KSK 轮转的最新信息及其产生的新信任锚,我们创建了这个资源页面。
当互联网社群首次在根区部署 DNSSEC 时,根区管理合作伙伴与社群协商规定"KSK 将计划在运行 5 年后,或根据需要通过一个密匙仪式进行轮转。"虽然社群中有人认为五年就是最后期限,但轮转 KSK 的时间表必须视互联网的实际运行状况而定。在过去一年左右的时间里,IANA 管理权移交是在通信方面最受公众关注的问题,但是 KSK 轮转工作也在同时进行。展望未来,为确保社群了解有关 KSK 轮转的所有工作和尽职调查,我将提供有关我们各项进展的定期更新。此外,我们还将在 ICANN 会议期间召开会议并举办其他技术论坛,提供有关 KSK 轮转的深入信息,以及相关各方为确保 KSK 轮转顺利进行所需采取的行动。
在接下来的几周内,我们将提供有关 KSK 轮转的更多详细信息,让您对当前的轮转时间表有一个认识:
- 2016 年 10 月:开始 KSK 轮转新密匙准备流程
- 2016 年 11 月:新 KSK 的生成
- 2017 年 7 月:新 KSK 的插入
- 2017 年 10 月:旧 KSK 的撤回
- 2018 年 1 月:旧 KSK 的撤销
- 2018 年 3 月:完成 KSK 轮转流程
显然,此时间表将根据具体情况进行调整:像定期更改密码一样进行 KSK 轮转是最佳做法,但是必须小心谨慎地完成,确保不会导致互联网 DNS 运行中断。
如果想要更多地参与 KSK 轮转,您可以访问 https://mm.icann.org/listinfo/ksk-rollover 加入电子邮件清单以参加公共讨论,或将您的疑问以电子邮件的形式发送至 globalsupport@icann.org,并在主题栏中标示"KSK 轮转"字样。
DNSSEC 和 KSK 轮转是加强 DNS 安全性和可靠性的重要因素。在未来的两年里,我们致力于与根区管理合作伙伴、DNS 运营商以及互联网社群紧密合作,作为一个整体来共同推进这项重要工作。作为全球互联网社群,在准备首次 KSK 轮转时,我们很高兴有机会进一步加强网络的安全性,并为互联网的未来发展打下基础。
