如果您关注了 2018 年 10 月 11 日启动的新根区密钥签名密钥 (KSK) 轮转,您可能会认为这个流程现在已经完成。其实不然,我们还需要执行一些技术上的重要措施,才能完成 KSK 轮转。其中一项措施便是撤销旧密钥,这项措施将于 2019 年 1 月 11 日执行。
目前,根区包含两类 KSK,即旧 KSK(称为"KSK-2010")和新 KSK(称为"KSK-2017")。自从轮转流程启动以来,我们就一直仅使用 KSK-2017 为根区的密钥集(包含根区中的所有域名系统安全扩展 (DNSSEC) 密钥)签名。既然 KSK-2010 不再用于生成签名,现在是时候将这类密钥标记为"已撤销",并将它们从根区中移除了。
在从根区中彻底移除 KSK-2010 之前,我们希望将这类密钥标记为"已撤销",以便让所有遵循"自动更新 DNSSEC 信任锚"标准 (RFC 5011) 的解析器能够加以识别。将旧密钥标记为"已撤销"后,任何使用 RFC 5011 的系统都会将 KSK-2010 视为无效,且今后不会再信任这类密钥。撤销标记将一直显示到 2019 年 3 月 22 日,届时,KSK-2010 将从根区中彻底地永久移除。
撤销后,根区密钥集的大小将会略微增加。ICANN 组织期望撤销过程可以顺利完成。不过,这是我们首次撤销域名系统 (DNS) 根区中的 KSK,因此,ICANN 组织和 DNS 技术社群将在公布 KSK-2010 撤销后的至少 48 小时内密切关注事态发展。
ICANN 组织强烈鼓励供应商停止在他们的产品中提供 KSK-2010。同样地,目前仍在手动维护 DNS 根信任锚清单的所有人员都应从他们的配置中移除 KSK-2010。
我们将通过 ksk-rollover@icann.org 电子邮件清单报告所发现的任何重大问题,这个电子邮件清单是沟通 KSK 轮转事宜所采用的常规方式。