zh

最近实行的密钥签名密钥 (KSK) 轮转:摘要和后续步骤

2018 年 10 月 30 日
作者: Paul HoffmanPaul Hoffman

本部分内容不仅提供联合国六种官方语言版本,还提供以下语言版本

正如我们希望的,大家都已听闻,经过实施一系列精心策划的步骤,DNS 根区的主要加密密钥已于 2018 年 10 月 11 日进行了更改。结果好得出乎意料:受此次更改(通常称为 轮转)负面影响的互联网用户数远小于所有人的预期。我们还需要做一些事来完善轮转流程,但轮转的主要任务已顺利完成。

背景简介:自 2010 年首次与 DNSSEC 签署根区起,轮转的实行便已在预料之中。2014 年 12 月,ICANN 征求社群志愿者与设计团队一起为根区密钥签名密钥或 KSK 制定轮转计划,自此,我们便开始认真筹备轮转计划。(KSK 对根区中的其他密钥进行签名,称为 ZSK。)该计划已于 2016 年 3 月发布,并由社群进行审核。ICANN 组织将设计转变为具体的运营计划(详见此处),并于 2017 年初开始付诸行动,尤其是面向解析器运营商开展广泛的外展活动,让他们做好准备。

轮转计划原定于 2017 年 10 月 11 日实行,但由于在根服务器系统中观察到混乱的信号,从而导致计划推迟了一个月。在对这些信号进行全面评估之后,ICANN 向社群建议 [PDF, 162 KB],应在 2018 年 10 月 11 日重新实行轮转,而 ICANN 董事会已于 2018 年 9 月批准新的时间安排。

10 月 11 日这天到来后,我们逐步检查了运营计划,并于当天的 16:00 点(世界协调时),将用于签署根区的 KSK 更改为 2017 年就已生成的新密钥。据我们预计,无论我们提前多久与解析运营商对此更改进行沟通,总有一些运营商没有做好准备,但是在 ICANN 组织和 DNS 技术社群查看轮转后的报告时,我们发现,这些解析器运营商已做好充分准备。现在距离实行轮转的时间已过去两周多,而我们听说只有少数解析器受到了不利影响,不过据我们所知,这些受影响的解析器都能够很快恢复。据 ICANN 了解,只有两家互联网服务提供商 (ISP) 在实行轮转时遇到了停机故障,轮转可能给他们带来了不利影响,但因为我们无法与他们进行交谈,无法确定出现问题的根本原因。

接下来,我们还有一些事情需要完成。首先,我们需要正式撤销旧密钥。2019 年 1 月 11 日,根区中曾经发布的任何旧密钥的状态都将更改为不再有效,然后解析器会将其从配置中删除。此后不久,ICANN 将发布一份全面涵盖整个轮转流程的白皮书,其中包括从该项工作中汲取的经验教训。然后,ICANN 的许多社群将会围绕对未来轮转的预期(轮换的频率,"备用"密钥的使用,他们在实行轮转之前想要查看的数据类型等)展开讨论,一切都围绕我们从轮转中学到的知识以及为实行轮转所实施的相关流程。

如果您有兴趣了解根 KSK 轮转的后续步骤,并想参与有关未来轮转的讨论,请加入 ksk 轮转电子邮件清单

Authors

Paul Hoffman

Distinguished Technologist
Read biographyRead biography