今天,ICANN 创建了一个新的根区密钥签名密钥 (KSK)。我们在位于弗吉尼亚州库尔佩珀的安全密钥管理设施举行根区 KSK 季度仪式期间,创建了这个新的加密公/私密匙对。随着该密钥生成,第一例根区 KSK 轮转的初始运作阶段 — 域名系统 (DNS)"万能钥匙"的变更过程 — 也随之展开。完整的 KSK 轮转过程预计将耗时约两年。
根区 KSK 是域名系统安全扩展 (DNSSEC) 验证的受信任起点,如同根区本身是 DNS 解析的起点一样。执行 DNSSEC 验证的软件信任根区 KSK 的公共部分,且根区 KSK 已配置到解析器并被称为根区"信任锚"。DNSSEC 验证软件首先使用信任锚建立一系列密钥和签名的"信任链",以检查 DNS 响应中签名数据的真实性。然而,与任何密码一样,根区密钥需要定期进行更改。执行 KSK 轮转可最大程度地降低密钥被盗用的风险,并且即使密钥被盗用或遗失,还可确保我们能够更改密钥。
由于新的密钥已生成,因此该密钥在接下来的几个月会做好投用准备。这个密钥对的私有部分副本将被存储在 ICANN 位于加利福尼亚州埃尔塞贡多的第二个安全密钥管理设施中。信任锚文件(请访问 iana.org 查看)将在 2017 年 2 月与新的 KSK 一同更新。之后,DNS 软件开发商和集成商应将新的密钥纳入其产品中。新的 KSK 于 2017 年 7 月 11 日首次在 DNS 中发布后,将被广泛使用。2017 年 10 月 11 日,新的密钥将首次被用于在根区签名,之后,这些活动将促成实际轮转事件。
发布 KSK 后,在其 DNS 解析器上启用 DNSSEC 验证的网络运营商将需要使用新的根区 KSK 更新其系统。
如果在 2017 年 10 月 11 日后没有安装新的信任锚,则由未更新的解析器所执行的所有 DNS 查找都会失败。
如果出现此类失败,使用相关解析器的客户端就会按照网站、电子邮件地址以及所有其他域名都不存在的方式运转。幸运的是,大多数现代验证解析器都拥有更新信任锚的自动机制。即使这样,在 2017 年 2 月发布新的信任锚后,网络运营商应确认新的信任锚已自动更新或对其进行手动配置,以确保新的信任锚安装到位。
