ICANN:第一次DNS根密钥更改在确保最小的中断下完成
时间 : 2018-10-19 编辑 : DNS智能解析专家 来源 : DNS.COM
互联网名称与数字地址分配机构(ICANN)在 2018 年 10 月 11 日对 DNS 根区的密钥进行了变更或"轮转",这也是自 2010 年启用密钥以来,首次对密钥进行变更。该密钥有助于保护互联网的地址簿 - 域名系统( DNS)。
在今年早些时候的一次会议上,ICANN董事会通过了一项决议,该决议预示着根区域密钥签名密钥(KSK)的首次变更或"轮转",该密钥签名密钥在2010年被用作DNS安全扩展(DNSSEC)的信任锚。
最小干扰下完成
据ICANN称,10月11日上周四其确保了对全球互联网的“最小干扰”下完成了根区密钥的首次变更。
ICANN先前已经进行了多次测试,并确认世界上只有1%的人会遇到问题,但数量仍然超过3600万用户。也就是说,如果您是不幸的1%用户之一,那么不需要恐慌。故障是临时的,不需要用户执行额外的步骤。您可以做的是重新启动调制解调器或仔细检查您的DNS以确保您的DNS地址由您的Internet服务提供商(ISP)更新。
“在对可用数据进行评估后,似乎没有相当数量的互联网终端用户因密钥更改而持续受到负面影响,”这位总部位于洛杉矶的非营利组织昨日在更新中表示。
“正如预期的那样,少数旋转变压器尚未准备好进行翻车。据ICANN所知,这些解析器能够解决他们的直接DNSSEC问题并快速恢复其DNS服务。“
滚动周
鉴于这是第一次更改密钥,ICANN可以在“系统性故障”的情况下启动转换。该卷最初将于2017年9月发布,但在ICANN开始分析涉及网络运营商潜在准备情况的最新数据后推迟。
在上周发生重大变革之前,该组织表示,一些互联网用户可能仍会受到任何未确保其解析器配置正确的运营商的影响。然而,代替任何重大事故,翻滚被认为是成功的。
“成功运用基础区域密钥所需的基础设施已经证明可以在全球范围内更新密钥。”ICANN首席技术官David Conrad表示“它还提供了重要的见解,有助于我们进行未来的重点推广。”
根区KSK轮转定义
KSK是一种公钥 - 私钥对,其公钥分布在全球数百万个系统中。私钥在ICANN系统内具有高度安全性,备份分布在七个关键持有者中。
早在2010年ICANN就开始使用DNSSEC对根区进行签名,DNSSEC 可确保服务器记录的数据没有经过篡改。
DNS根区的签名包括如下两种:签署根区主数据的域签名密钥ZSK和签署根区的根区密钥集进行签名的KSK。ZSK通常每隔三个月就会更新确保数据安全,每个新的ZSK 均通过长期有效的KSK进行签名确保ZSK的有效。当密钥签名密钥即KSK需要进行更改时即发生轮转,轮转期间原KSK将被停用新的KSK重新对ZSK 进行签名。
为什么要进行KSK轮转
进行KSK轮转的目的在于确保全球DNS系统安全运行,不支持 DNSSEC 加密的DNS解析服务器将无法运行。在进行轮转后超过99%的DNS服务器都可获得新KSK密钥签名,因此支持 DNSSEC 的解析器几乎没有影响。在本次KSK 轮转过后那些尚未支持 DNSSEC 加密的服务器由于无法获得新密钥因此可能出现无法正常解析。
ICANN表示现在将进入展期过程的下一步:撤销旧的KSK。这将在2019年第一季度进行,预计不会影响任何解析器,因为旧的KSK不再用于签署根区域。该流程的最后步骤将在2019年晚些时候从信任锚文件和ICANN安全设施中的硬件安全模块中删除已撤销的密钥。
“这是第一次根密钥更改,但它不会是最后一次。”ICANN研究副总裁Matt Larson说。
来源:https://portswigger.net/daily-swig/first-dns-root-key-change-completed-with-minimal-disruption