全球实施域名DNSSEC密钥签名密钥（KSK）轮转收阻

2018年3月28日，中国信通院发不了2018互联网域名产业报告，并介绍到全球的域名安全情况，其中关于大家都关心的域名DNSSEC密钥签名密钥（KSK）轮转也有了消息，下面我们一起来看看。

全球同步实施 DNSSEC 密钥签名密钥（KSK）轮转，但进程受阻 DNSSEC \r\n是由互联网工程任务组（IETF）开发的一系列域名系统（DNS）安全认证机制，通过软件方式实现对数据来源和数据完整性的验证，对于数据篡改类的攻击（即域名劫持）提供了良好的防范手段。作为全球互联网唯一标识符的技术协调机构，ICANN \r\n负有确保域名系统安全稳定运行、实现域名系统的全球互操作性和开放性、维护全球公共利益的使命，加强实施以 DNSSEC 为核心的安全认证技术则是重要举措。

DNS 根区的 DNSSEC 部署工作于 2010 年 7 月启动，目前根已全部完成；顶级域部署率超过 90%，包括我国“.CN/.中国”在内的部分 \r\nccTLD、“.COM/.NET”等传统 gTLD 以及全部新 gTLD 均部署了 DNSSEC；二级及以下各级域的权威解析以及递归解析的 DNSSEC \r\n部署进展则较为缓慢。KSK（也被称为根区 KSK）是在 DNSSEC 协议中起重要作用的“顶级”加密密钥组，包括公钥和私钥两类。其中，公钥广泛分布和配置于支持 \r\nDNSSEC 验证的解析设备，是 DNSSEC 验证的可信起点，即根的“信任锚”，DNSSEC 验证软件从信任锚开始构建连续密钥和签名的“信任链”，以验证 \r\nDNS 响应中签名数据的真实性。私钥则由 ICANN 安全保存，用于对根区密钥进行加密签名。

为了最大限度地减少 KSK 被破坏的风险，维护 DNS 安全性， ICANN 需要定期（每五年）组织全球各相关方对 KSK \r\n进行轮转（Rollover，即更换）。根据 2016 年 7 月 ICANN、VeriSign 和 NTIA 三家根区管理机构6共同制定的 KSK \r\n轮转运营计划，拟于 2016-2018 年开展 KSK 的首次更换，生成新的加密密钥组并分发新的公钥，其中 2017 年 10 月 11 日启用新 KSK \r\n对根区密钥组签名，2018 年 1 月 11日旧KSK将被撤销。IANA 网站公布了新公钥的相关文件。考虑到几乎所有顶级域名查询都需要进行 DNSSEC \r\n验证，未作 KSK 更新将返回错误响应，影响顶级域的正确解析和互联网的正常使用，因此 DNS 软件开发人员和集成商需要及时在其产品中包含新的公钥，确保软件符合 \r\nRFC 5011 信任锚自动更新协议；互联网服务提供商（ISP）、企业网络运营商及其他 DNSSEC 验证管理机构，需要及时对其系统完成新 KSK 的配置。根据 \r\nICANN 估算，全球四分之一的互联网用户（7.5 亿人）都可能受到 KSK 轮转的影响。

我国涉及 KSK 轮转的参与者主要是各域名申请注册管理机构。2017 年 6 月， ICANN 总裁兼首席执行官马跃然（Göran Marby）通过致信各 \r\nGAC代表，向各国家和地区政府介绍了 DNSSEC KSK 轮转的有关情况，并请 GAC 代表协助提醒该国家或地区相关机构按期更新系统。

但是，2017 年 10 月，ICANN 宣布由于众多 ISP 尚未在其系统中安装新 KSK，原定于 10 月 11 日进行的新 KSK \r\n使用操作延期，根据 ICANN 2018 年 2 月最新征求意见的工作计划，这一操作拟被推迟至 2018 年 10 月 11 日。

什么是DNSSEC

域名系统安全扩展（英语：Domain Name System Security Extensions，缩写为DNSSEC）是Internet工程任务组 \r\n（IETF）的对确保由域名系统 （DNS）中提供的关于互联网协议 \r\n（IP）网络使用特定类型的信息规格套件。它是对DNS提供给DNS客户端（解析器）的DNS数据来源进行认证，并验证不存在性和校验数据完整性验证，但不提供或机密性和可用性。

简单来说，DNSSEC 就是一个对现有 DNS 协议进行安全完善的拓展。他在现有的 DNS 协议的基础上，增加了几个新的资源记录来达到这个目的。

备注：2010 年之后的 IANA 职能合同规定了生成和维护根区 KSK 的要求及各自责任；IANA 职能管理权移交后， NTIA \r\n不再直接介入根区管理事务，ICANN 和 VeriSign 维持了关于 DNSSEC 的相关职责。

相关阅读:

中国信通院发布2017《互联网域名产业报告》