2018年3月28日,中國(guó)信通院發(fā)不了2018互聯(lián)網(wǎng)域名產(chǎn)業(yè)報(bào)告�,并介紹到全球的域名安全情況,其中關(guān)于大家都關(guān)心的域名DNSSEC密鑰簽名密鑰(KSK)輪轉(zhuǎn)也有了消息���,下面我們一起來(lái)看看�����。
全球同步實(shí)施 DNSSEC 密鑰簽名密鑰(KSK)輪轉(zhuǎn)��,但進(jìn)程受阻 DNSSEC \r\n是由互聯(lián)網(wǎng)工程任務(wù)組(IETF)開(kāi)發(fā)的一系列域名系統(tǒng)(DNS)安全認(rèn)證機(jī)制��,通過(guò)軟件方式實(shí)現(xiàn)對(duì)數(shù)據(jù)來(lái)源和數(shù)據(jù)完整性的驗(yàn)證��,對(duì)于數(shù)據(jù)篡改類(lèi)的攻擊(即域名劫持)提供了良好的防范手段����。作為全球互聯(lián)網(wǎng)唯一標(biāo)識(shí)符的技術(shù)協(xié)調(diào)機(jī)構(gòu),ICANN \r\n負(fù)有確保域名系統(tǒng)安全穩(wěn)定運(yùn)行��、實(shí)現(xiàn)域名系統(tǒng)的全球互操作性和開(kāi)放性�����、維護(hù)全球公共利益的使命���,加強(qiáng)實(shí)施以 DNSSEC 為核心的安全認(rèn)證技術(shù)則是重要舉措�。
DNS 根區(qū)的 DNSSEC 部署工作于 2010 年 7 月啟動(dòng)�,目前根已全部完成;頂級(jí)域部署率超過(guò) 90%����,包括我國(guó)“.CN/.中國(guó)”在內(nèi)的部分 \r\nccTLD、“.COM/.NET”等傳統(tǒng) gTLD 以及全部新 gTLD 均部署了 DNSSEC�����;二級(jí)及以下各級(jí)域的權(quán)威解析以及遞歸解析的 DNSSEC \r\n部署進(jìn)展則較為緩慢�。KSK(也被稱(chēng)為根區(qū) KSK)是在 DNSSEC 協(xié)議中起重要作用的“頂級(jí)”加密密鑰組,包括公鑰和私鑰兩類(lèi)�����。其中,公鑰廣泛分布和配置于支持 \r\nDNSSEC 驗(yàn)證的解析設(shè)備����,是 DNSSEC 驗(yàn)證的可信起點(diǎn),即根的“信任錨”�����,DNSSEC 驗(yàn)證軟件從信任錨開(kāi)始構(gòu)建連續(xù)密鑰和簽名的“信任鏈”�����,以驗(yàn)證 \r\nDNS 響應(yīng)中簽名數(shù)據(jù)的真實(shí)性���。私鑰則由 ICANN 安全保存,用于對(duì)根區(qū)密鑰進(jìn)行加密簽名����。
為了最大限度地減少 KSK 被破壞的風(fēng)險(xiǎn),維護(hù) DNS 安全性���, ICANN 需要定期(每五年)組織全球各相關(guān)方對(duì) KSK \r\n進(jìn)行輪轉(zhuǎn)(Rollover�����,即更換)��。根據(jù) 2016 年 7 月 ICANN�、VeriSign 和 NTIA 三家根區(qū)管理機(jī)構(gòu)6共同制定的 KSK \r\n輪轉(zhuǎn)運(yùn)營(yíng)計(jì)劃,擬于 2016-2018 年開(kāi)展 KSK 的首次更換���,生成新的加密密鑰組并分發(fā)新的公鑰�����,其中 2017 年 10 月 11 日啟用新 KSK \r\n對(duì)根區(qū)密鑰組簽名���,2018 年 1 月 11日舊KSK將被撤銷(xiāo)。IANA 網(wǎng)站公布了新公鑰的相關(guān)文件�����??紤]到幾乎所有頂級(jí)域名查詢(xún)都需要進(jìn)行 DNSSEC \r\n驗(yàn)證,未作 KSK 更新將返回錯(cuò)誤響應(yīng)�,影響頂級(jí)域的正確解析和互聯(lián)網(wǎng)的正常使用,因此 DNS 軟件開(kāi)發(fā)人員和集成商需要及時(shí)在其產(chǎn)品中包含新的公鑰����,確保軟件符合 \r\nRFC 5011 信任錨自動(dòng)更新協(xié)議���;互聯(lián)網(wǎng)服務(wù)提供商(ISP)、企業(yè)網(wǎng)絡(luò)運(yùn)營(yíng)商及其他 DNSSEC 驗(yàn)證管理機(jī)構(gòu)��,需要及時(shí)對(duì)其系統(tǒng)完成新 KSK 的配置�。根據(jù) \r\nICANN 估算,全球四分之一的互聯(lián)網(wǎng)用戶(hù)(7.5 億人)都可能受到 KSK 輪轉(zhuǎn)的影響���。
我國(guó)涉及 KSK 輪轉(zhuǎn)的參與者主要是各域名申請(qǐng)注冊(cè)管理機(jī)構(gòu)�。2017 年 6 月�, ICANN 總裁兼首席執(zhí)行官馬躍然(G?ran Marby)通過(guò)致信各 \r\nGAC代表,向各國(guó)家和地區(qū)政府介紹了 DNSSEC KSK 輪轉(zhuǎn)的有關(guān)情況�����,并請(qǐng) GAC 代表協(xié)助提醒該國(guó)家或地區(qū)相關(guān)機(jī)構(gòu)按期更新系統(tǒng)�����。
但是��,2017 年 10 月��,ICANN 宣布由于眾多 ISP 尚未在其系統(tǒng)中安裝新 KSK�,原定于 10 月 11 日進(jìn)行的新 KSK \r\n使用操作延期,根據(jù) ICANN 2018 年 2 月最新征求意見(jiàn)的工作計(jì)劃�����,這一操作擬被推遲至 2018 年 10 月 11 日���。
什么是DNSSEC
域名系統(tǒng)安全擴(kuò)展(英語(yǔ):Domain Name System Security Extensions���,縮寫(xiě)為DNSSEC)是Internet工程任務(wù)組 \r\n(IETF)的對(duì)確保由域名系統(tǒng) (DNS)中提供的關(guān)于互聯(lián)網(wǎng)協(xié)議 \r\n(IP)網(wǎng)絡(luò)使用特定類(lèi)型的信息規(guī)格套件。它是對(duì)DNS提供給DNS客戶(hù)端(解析器)的DNS數(shù)據(jù)來(lái)源進(jìn)行認(rèn)證�����,并驗(yàn)證不存在性和校驗(yàn)數(shù)據(jù)完整性驗(yàn)證�,但不提供或機(jī)密性和可用性。
簡(jiǎn)單來(lái)說(shuō)��,DNSSEC 就是一個(gè)對(duì)現(xiàn)有 DNS 協(xié)議進(jìn)行安全完善的拓展���。他在現(xiàn)有的 DNS 協(xié)議的基礎(chǔ)上�,增加了幾個(gè)新的資源記錄來(lái)達(dá)到這個(gè)目的�����。
備注:2010 年之后的 IANA 職能合同規(guī)定了生成和維護(hù)根區(qū) KSK 的要求及各自責(zé)任;IANA 職能管理權(quán)移交后�����, NTIA \r\n不再直接介入根區(qū)管理事務(wù)�����,ICANN 和 VeriSign 維持了關(guān)于 DNSSEC 的相關(guān)職責(zé)�����。
相關(guān)閱讀:
中國(guó)信通院發(fā)布2017《互聯(lián)網(wǎng)域名產(chǎn)業(yè)報(bào)告》
