ICANN 组织今日宣布将不会在 2018 年第一季度进行根区 KSK 轮转。
我们已经确定的是,组织缺乏足够的信息来设定轮转具体日期。不过,我们想要指明,ICANN 组织承诺将进行根区 KSK 轮转,也将继续与社群讨论这一重要流程,收集他们的反馈意见,并在确定轮转日期之前提前至少一个日历季度通知所有感兴趣的相关方。
此外,我们正在征求社群建议,帮助我们确定适当的客观标准,以便衡量根区 KSK 轮转对互联网用户的潜在负面影响,以及这些标准在轮转之前的可接受值(如有可能)。这与对 ICANN政策制定十分有效的自下而上的多利益相关方模型不谋而合。
ICANN 组织于 2017 年 9 月 27 日宣布将根区 KSK 轮转推迟至少一个季度,留下了在 2018 年第一季度进行根区 KSK 轮转的可能性。但后来才认识到,我们需要更多时间来进行分析和准备。
在之前的帖子中,我们曾分析了递归解析器信任锚配置信息,这些信息使用 RFC 8145(DNS 安全扩展 (DNSSEC) 中的信令信任锚知识)中定义的协议进行报告。通过分析我们发现,在 2017 年 9 月份报告的约 12,000 个 DNSSEC 验证解析器中,约有 4% 仅配置了 KSK-2010(当前根区 KSK 的缩写),而且在轮转后,这些解析器将无法解析 DNS 查询。
鉴于我们尚不清楚解析器未得到正确配置的原因,并且需要时间进行调查,ICANN 组织推迟了轮转决定。
之后,我们尝试联系负责其中 500 个地址的运营商 — 这些地址报告的解析器配置仅拥有 KSK-2010,而不是包含 KSK-2010 和新 KSK,KSK-2017 的正确配置。理想情况下,该调查可能会揭示出一系列导致不当配置的明确原因,然后我们便能够通过这些原因开展进一步沟通和行动以便解决这些具体问题。不过最后,分析结果并不像我们所希望的那样 明确。
在最初的尝试中,负责这 500 个地址的运营商中只有约 20% 给出了回复。在我们可以联系到运营商的地址中,60% 来自已知托管具有动态地址设备(例如家庭宽带用户的路由器和暂时使用的虚拟机)的地址范围,这使得这些解解析器追踪起来十分困难(如果可能的话)。只有大约 25% 的地址与代表仅报告 KSK-2010 的解析器进行转发的解析器相对应。由于报告错误配置的设备的地址不是真正的源解析器,因此要识别仅报告 KSK-2010 的解析器的真实源地址是非常困难的(如果可能的话)。
ICANN 组织必须首先确信轮转不会对互联网用户造成不可接受的负面影响,才能进行根区 KSK 轮转。在分析来自解析器的 RFC 8145 信任锚配置报告的过程中,我们所遇到的挑战是用户影响评估。
我们可以做出大量假设:例如,在动态地址中运行的递归解析器不太可能支持大量的用户,因为它无法提供可供任何设备发送查询以获取解析的稳定地址。但是从根本上来讲,根据可用数据来确定对用户的潜在影响是十分困难的,因此我们正在积极征求社群建议。
用来处理 KSK 轮转可接受标准的建议和讨论将通过已用于讨论根 KSK 轮转的现有电子邮件清单进行。欢迎任何想要建言献策的人员通过访问此处的网页加入该电子邮件清单。
ICANN 组织将关注该电子邮件清单,并且从 2018 年 1 月 15 日开始,我们将根据收到的意见和电子邮件清单上的讨论制定一个用来处理 KSK 根区轮转的计划草案。该计划将于 2018 年 1 月 31 日之前发布,然后接受 ICANN 的正式公共评议期以收集更多意见。我们将在 ICANN61 波多黎各圣胡安会议期间专门召开会议讨论这一计划,并当面听取社群的意见。我们的目的是赶在 ICANN62 巴拿马共和国巴拿马城会议之前制定出一份修订版计划以供社群审核,并征询公众意见,之后再公布最终计划。
我们将全程向社群报告根区 KSK 轮转项目的进展。
