ICANN 将完成密钥轮转 全球各互联网服务提供商都准备好了吗?
时间 : 2018-08-30 编辑 : DNS智能解析专家 来源 : DNS.COM
“全球的互联网服务提供商和网络运营商均应确保已对密钥更换做好了准备。”ICANN首席技术官戴维·康纳德(David Conrad) 说:“否则,他们的用户将无法查询域名,也将无法登录任何一个互联网网站。”
ICANN(Internet Corporation for Assigned Names and Numbers)——互联网名称与数字地址分配机构,是一家成立于1998年的非营利性的国际组织,ICANN及其社群致力于确保互联网的安全性、稳定性和互用性,其中包括互联网协议(IP)地址的空间分配、协议标识符的指派、通用顶级域名(gTLD)以及国家和地区代码顶级域名(ccTLD)系统的管理、以及根服务器系统的管理。简而言之,ICANN负责域名及IP地址等互联网唯一标识符的分配与解析。
何为域名解析?
老生常谈,何为域名解析?我们都知道,网络上的计算机可以通过“192.0.32.7”这个IP地址识别ICANN的网站,也可通过“icann.org”这个域名找到该网站。接入互联网的每一台电脑与网站都有一个由一长串数字组成的IP地址,不便于记忆,而域名则更方便好记忆。而域名系统(DNS)就承担了这个“翻译”功能,帮助网民将域名和IP地址一一映射,也因此构成了互联网最重要和关键的基础设施。
打个比方,人们在电脑输入dns.com这一域名,经过域名系统(DNS)的解析成功访问我们帝恩思的官网的页面,所以人们也常常把域名系统类比为互联网上的“电话簿”。因为每一个人都依赖该系统去解析跟IP地址对应的容易记忆的名字,域名系统经常成为黑客攻击的目标,常见形式包括钓鱼网站、垃圾邮件、散布恶意软件、僵尸网络以及拒绝服务攻击等。
域名解析过程面临的一个重大安全威胁是“中间人”攻击,即攻击者采用DNS欺骗技术拦截查询会话,将用户引导到假冒的网站,从而窃取用户的密码和信息。想要从技术上消除这样的安全隐患,一种被广为接受的解决方案是以端到端的形式部署一种称为DNS安全扩展(DNSSEC)的技术。
从2008年开始,为了维护全球域名系统的安全与稳定,ICANN开始推广部署DNSSEC。简言之,DNSSEC是通过将公钥密码系统引入DNS的层次结构,从而为域名系统生成一个开放的全球公钥基础设施(PKI),以此提高DNS的安全性。
何为密钥轮转?
DNSSEC的优势在于通过数字签名,防止对域名查询的暗中篡改,从而保障域名查询安全,并抵御可能攻击。由于错误的域名查询结果通常会在服务器的缓存中存活一段时间,这种错误将会影响到所有使用该服务器的人,这通常被称为缓存中毒。防止缓存中毒是DNSSEC的主要优势之一。
根区密钥签名密钥(KSK)在域名系统安全扩展(DNSSEC)中发挥着重要作用。KSK是一对加密公/私密钥,执行DNSSEC验证功能的软件将信任根区的KSK并创建后续密钥和签名的“信任链”,以验证DNS解析过程中任何环节签名数据的真实性。虽然根区的密钥安全度非常高,但和其他密码一样,始终保持密钥不变也是有安全风险的,密钥也需要定期进行更新。这就是戴维·康纳德强调的密钥更换,又称“轮转”(rollover),是维护全球DNS安全与稳定的重要环节。
ICANN计划于今年10月首次更换维护互联网域名系统安全的根区密钥。戴维·康纳德表示,轮转相关的技术工作已经准备就绪,ICANN还与全球互联网社群合作,确保轮转的消息能够覆盖更多的人群。目前,DNS密钥轮转已进入实施前的最后准备阶段。
如何进行密钥轮转?
“网络运营商应当确保他们拥有最新软件、已经部署了域名系统安全扩展(DNSSEC)、并已经验证了其系统能够自动更换密钥。”戴维·康纳德表示。
今年6月,他到访北京与中科院计算机网络信息中心、信息通信研究院、中国移动以及奇虎360等单位和企业,以及技术社群探讨了本轮DNSSEC密钥轮转的意义。ICANN也试图通过自己的影响力,让互联网服务提供商、企业网络运营商和其他DNSSEC验证管理方知晓,必须使用新密钥签名密钥的公共部分更新其系统。
“假如你尚未开启DNSSEC验证这项功能,那轮转对你的影响不会很大;假如你已经打开了DNSSEC这项功能而又没有进行正确的密钥轮转,当你打不开网页时都不知道是为什么。”戴维·康纳德说,目前全球预计有7亿人会受到此次密钥轮转的影响,他最担心的是小公司。因为大公司有比较多的技术资源和能力,能够确保调整好设置、自动或手动更新软件。而中小企业往往采用技术外包的方式,假如此前为了抵御网络攻击而打开了DNSSEC这项功能而又没有及时进行密钥轮转,就会受到较大影响。此外,他也提醒,执行DNSSEC验证的软件相当有限,一部分运营商依旧在使用旧版软件而不支持自动更新。
戴维·康纳德建议,创建或维护DNSSEC验证软件的开发人应确保软件符合RFC 5011,对于不符合或者配置为不使用RFC 5011的软件,需要手动获取信任锚文件。软件开发人员和验证解析器运营商可以到ICANN的平台上进行运营测试,评估其系统是否恰当执行RFC 5011的要求及是否将在KSK轮转期间自动更新。“购买设备的时候关注是否安全,同时不断更新你的软件保持最新状态。”这是戴维·康纳德对于确保网络安全的建议。
来源:经济日报