從2008年開始����,為了維護(hù)全球域名系統(tǒng)的安全與穩(wěn)定,ICANN開始推廣部署DNSSEC�。
DNSSEC的優(yōu)勢在于通過數(shù)字簽名,防止對域名查詢的暗中篡改��,從而保障域名查詢安全���,并抵御可能攻擊��。KSK在DNSSEC中發(fā)揮著重要作用���。KSK是一對加密公/私密鑰�����,執(zhí)行DNSSEC驗證功能的軟件將信任根區(qū)的KSK并創(chuàng)建后續(xù)密鑰和簽名的“信任鏈”���,以驗證DNS解析過程中任何環(huán)節(jié)簽名數(shù)據(jù)的真實性。雖然根區(qū)的密鑰安全度非常高���,但和其他密碼一樣�����,始終保持密鑰不變也是有安全風(fēng)險的�����,密鑰也需要定期進(jìn)行更新,即密鑰更換��,又稱“輪轉(zhuǎn)”(rollover)�����,是維護(hù)全球DNS安全與穩(wěn)定的重要環(huán)節(jié)�。
KSK用于對區(qū)域簽名密鑰(ZSK)進(jìn)行加密簽名����,根區(qū)域維護(hù)者使用ZSK對互聯(lián)網(wǎng)DNS的根區(qū)域進(jìn)行DNSSEC簽名。維護(hù)最新的KSK對于確保負(fù)責(zé)DNSSEC驗證的DNS解析系統(tǒng)在輪換后繼續(xù)正常運行至關(guān)重要����。如果沒有最新的根區(qū)域KSK,將意味著負(fù)責(zé)DNSSEC驗證的DNS解析系統(tǒng)將無法解析任何DNS查詢��。
密鑰輪轉(zhuǎn)是如何進(jìn)行的��?
輪轉(zhuǎn)KSK意味著生成新的加密公鑰和私鑰對�,并將新的公共組件分發(fā)給操作驗證解析系統(tǒng)的有關(guān)方,包括:互聯(lián)網(wǎng)服務(wù)提供商�����、企業(yè)網(wǎng)絡(luò)管理員及其他域名系統(tǒng)(DNS)解析系統(tǒng)運營商���、DNS解析系統(tǒng)軟件開發(fā)商���、系統(tǒng)集成商�����,以及安裝或發(fā)送根區(qū)域“信任錨”(trust \r\nanchor)的軟硬件分發(fā)商����。若未開啟DNSSEC驗證��,那輪轉(zhuǎn)影響不會很大��,若已經(jīng)開啟����,則需保證擁有最新軟件、已經(jīng)部署了DNSSEC���、并已經(jīng)驗證其系統(tǒng)能夠自動更換密鑰��。
KSK的輪轉(zhuǎn)原本預(yù)計在一年以前進(jìn)行����,但當(dāng) ICANN \r\n找到輪轉(zhuǎn)前的最新數(shù)據(jù)并對其分析后�,決定暫緩密鑰輪轉(zhuǎn)���。又經(jīng)過一年時間的技術(shù)準(zhǔn)備,ICANN已于10月11日啟動密鑰輪轉(zhuǎn)��。盡管之前各種消息提示�,如“互聯(lián)網(wǎng)將在不到12小時內(nèi)‘關(guān)閉’,以便ICANN進(jìn)行DNS加密密鑰的更新”�����、“全球互聯(lián)網(wǎng)換密碼���、上網(wǎng)將受短暫影響”等,但就目前ICANN統(tǒng)計的信息來看�,自根區(qū)KSK輪轉(zhuǎn)啟動以后,暫未發(fā)現(xiàn)任何有關(guān)根區(qū) \r\nKSK 輪轉(zhuǎn)的嚴(yán)重問題����。
泰策作為國內(nèi)領(lǐng)先的DNS系統(tǒng)解決方案提供商,已為國內(nèi)多家省級電信運營商提供DNS系統(tǒng)方案及技術(shù)支持�����。雖然由于國內(nèi)的緩存/遞歸服務(wù)器還沒有開啟DNSSEC�����,所以在此次KSK輪轉(zhuǎn)過程中各運營商的DNS系統(tǒng)沒未有經(jīng)受考驗,但泰策一直在跟蹤最新的業(yè)界技術(shù)發(fā)展和動態(tài)��,包括DNSSEC的發(fā)展和技術(shù)要求等����,我們會一如既往地全力保障電信運營商DNS系統(tǒng)的穩(wěn)定運行,保證廣大用戶的上網(wǎng)體驗����。
相關(guān)閱讀:
什么是根區(qū)KSK域名輪轉(zhuǎn)
