首页备案 正文

ICANN域名保护系统加密密钥变更计划被推迟

2023-11-20 2 0条评论

ICANN于今天宣布旨在保护域名系统的加密密钥变更计划现已被推迟。

密钥更换涉及生成一个新的加密密钥对,并将新的公共元素分配给经由“域名系统安全扩展”(Domain Name System Security Extensions,DNSSEC)验证后的解析器。根据目前使用DNSSEC验证解析器的预估互联网用户数量,全球互联网用户中大约有四分之一,或7.5亿人,将会受到KSK轮转的影响。


KSK密钥的变更或"轮转"原本预期在10月11日进行,但由于近期获取的数据显示有一大批互联网服务提供商(ISP)和网络运营商还没有针对密钥轮转做好准备,因而密钥轮转需要推迟进行。这次新数据的获取源于近期DNS协议中的一项功能使得解析器能够向根服务器汇报哪些密钥已进行了配置。


运营商尚未将新密钥安装进入其系统,原因有许多,例如:某些运营商的解析器软件没有进行正确设置;且近期发现一种广泛使用的解析程序似乎无法按照预期计划自动更换密钥,其具体原因尚待审查。


ICANN目前正在通知其社群,包括安全与稳定咨询委员会(Securityand Stability Advisory Committee,SSAC)、地区互联网域名注册管理机构(Regional Internet Registries,RIR)、网络运营商团体(Network Operators Groups,NOGs)和其他相关方,请求他们帮助查找和解决问题。


与此同时,ICANN认为应当采取审慎态度遵守流程、推迟密钥变更,而不是草率执行变更,导致大量互联网用户受到负面影响。ICANN承诺将继续向相关技术机构进行宣传和教育、沟通和接触,确保他们对密钥变更做好准备。


ICANN总裁兼CEO马跃然表示:

“维护域名系统的安全、稳定和弹性是我们的核心使命。我们宁可采取审慎合理的态度,而不是在10月11日进行鲁莽变更。当我们发现了这些新问题后如果仍旧执行轮转,是不负责任的态度,因为这些新问题可能会影响轮转取得成功,可能会给一大批终端用户的能力造成负面影响。

密钥轮转的新日期目前尚未确定。ICANN首席技术官办公室表示,目前希望能够将密钥轮转时间重新定在2018年第一季度,但这还要取决于我们对新信息是否能够充分理解,并能够尽可能多地缓和潜在故障。

ICANN将在获得新信息后及时发布,并在适当时宣布新的密钥轮转日期。


马跃然表示:

“我们希望网络运营商将利用这段额外时间来确保其系统已经为密钥轮转做好了准备。我们的测试平台将帮助运营商确保其解析器能够对新密钥进行正确配置,我们将继续与这些域名运营商进行接触与交流。


关于DNSSEC

为了在互联网上方便地识别资源,这些资源背后的号码地址现已被可读字符串所替代。分布式层级化的域名系统(DNS)则负责将这些字符串转换为号码。自1983年设计完成以来,计算和网络技术变得日益复杂,这使得这一"网络电话簿"很容易受到袭击。为了应对这些威胁,国际标准组织互联网工程任务组(IETF)开发了DNSSEC,采用加密方式来确保DNS的内容不会在未经探测的情况下从源头上被修改。DNSSEC一旦得到全面部署,将使得袭击者无从对DNS用户进行重定向。


相关阅读:

域名保护锁是什么

文章版权及转载声明

本文作者:admin 网址:http://news.edns.com/post/221951.html 发布于 2023-11-20
文章转载或复制请以超链接形式并注明出处。

取消
微信二维码
微信二维码
支付宝二维码