跳到主要內容

KSK Rollover 延期

互聯網名稱與數字地址分配機構 (Internet Corporation for Assigned Names and Numbers, ICANN) 於今天宣布旨在保護域名系統 (Domain Name System, DNS) 的加密密鑰變更計劃現已被延期。

密鑰更換涉及生成一個新的加密密鑰對,並將新的公共元素分配給經由域名系統安全擴展 (Domain Name System Security Extensions, DNSSEC) 驗證後的解析器。根據目前使用 DNSSEC 驗證解析器的預估互聯網用戶數量,全球互聯網用戶中大約有四分之一,或 7.5 億人,將會受到 KSK Rollover的影響。

KSK 密鑰的變更或"輪替"原本預期在10 月11 日進行,但由於近期獲取的數據顯示有一大批互聯網服務提供商(ISP) 和網絡運營商還沒有針對KSK Rollover做好準備,因而KSK Rollover需要延期進行。這次新數據的獲取源於近期 DNS 協議中的一項功能使得解析器能夠向根服務器匯報哪些密鑰已進行了配置。

運營商尚未將新密鑰安裝進入其系統,原因有許多,例如:某些運營商的解析器軟件沒有進行正確設置;且近期發現一種廣泛使用的解析程序似乎無法按照預期計劃自動更換密鑰,其具體原因尚待審查。

ICANN 目前正在通知其社群,包括安全與穩定諮詢委員會(Security and Stability Advisory Committee, SSAC)、地區互聯網註冊管理機構(Regional Internet Registries, RIR)、網絡運營商團體(Network Operators Groups, NOGs) 和其他相關方,請求他們幫助查找和解決問題。

與此同時,ICANN 認為應當採取審慎態度遵守流程、延期密鑰變更,而不是草率執行變更,導致大量互聯網用戶受到負面影響。 ICANN 承諾將繼續向相關技術機構進行宣傳和教育、溝通和接觸,確保他們對密鑰變更做好準備。

"維護域名系統的安全、穩定和彈性是我們的核心使命。我們寧可採取審慎合理的態度,而不是在 10 月 11 日進行魯莽變更,"馬躍然 (Göran Marby) 表示。 "當我們發現了這些新問題後如果仍然執行輪替,是不負責任的態度,因為這些新問題可能會影響輪轉取得成功,可能會給一大批終端用戶的能力造成負面影響。"

KSK Rollover實施的新日期目前尚未確定。 ICANN 首席技術官辦公室表示,目前希望能夠將實施KSK Rollover的時間重新定在 2018 年第一季度,但這還要取決於我們對新信息是否能夠充分理解,並能夠盡可能地減少潛在問題。

ICANN 將在獲得新信息後及時發布,並在適當時宣布新的KSK Rollover實施日期。

"我們希望網絡運營商將利用這段額外時間來確保其系統已經為KSK Rollover做好了準備,"馬躍然表示。 "我們的測試平台(http://go.icann.org/KSKtest)將幫助運營商確保其解析器能夠對新密鑰進行正確配置,我們將繼續與這些運營商進行接觸與交流。"

關於 DNSSEC

為了在互聯網上方便地識別資源,這些資源背後的號碼地址現已被可讀字符串所替代。分佈式層級化的域名系統 (DNS) 則負責將這些字符串轉換為號碼。自 1983 年設計完成以來,計算和網絡技術變得日益複雜,這使得這一"網絡電話簿"很容易受到襲擊。為了應對這些威脅,國際標準組織互聯網工程任務組 (IETF) 開發了 DNSSEC,採用加密方式來確保 DNS 的內容不會在未經探測的情況下從源頭上被修改。 DNSSEC 一旦得到全面部署,將使得襲擊者無從對 DNS 用戶進行重定向。

資料更新:2017-11-03發布日期:2017-11-03