根区密钥签名密钥 (KSK) 轮转
有关轮转状态的最新资讯,请参阅轮转状态页面。最新资讯将发送至:https://mm.icann.org/listinfo/ksk-rollover 电子邮件清单。如果您的解析器在进行轮转时遇到紧急问题,请直接参阅以下信息。
新闻
2018 年 2 月 1 日 – 继续执行密钥签名密钥 (KSK) 轮转拟定计划现已公布
2017 年 12 月 18 日 – 根区 KSK 轮转计划更新
2017 年 9 月 27 日 – KSK 轮转现已推迟
2017 年 9 月 7 日 – 网络运营商和 ISP 请注意:确定您是否已为根区 KSK 轮转做好准备!
2016 年 10 月 27 日 – KSK 轮转工作开始
技术方面的资讯更新
2018 年 2 月 1 日 – 继续执行密钥签名密钥 (KSK) 轮转拟定计划现已公布
2017 年 12 月 18 日 – 根区 KSK 轮转计划更新
2017 年 10 月 17 日 – 推迟根区 KSK 轮转
2017 年 9 月 27 日 – ICANN 宣布推迟 KSK 轮转
2017 年 9 月 4 日 – 查看 DNS 验证解析器中的当前信任锚
2017 年 9 月 4 日 – 使用最新的信任锚更新 DNS 验证解析器
2017 年 7 月 11 日 – KSK-2017 在 DNS 中发布
概述
ICANN 计划按照根区 KSK 运营商 DNSSEC 实践声明 [TXT,99 KB] 中的要求执行根区域名系统安全扩展 (DNSSEC) KSK 轮转。
轮转 KSK 意味着生成新的加密公钥和私钥对,并将新的公共组件分发给负责运营验证解析器的相关方,包括:互联网服务提供商、企业网络管理员和其他域名系统 (DNS) 解析器运营商、DNS 解析器软件开发商、系统集成商,以及安装或装载根"信任锚"的硬件和软件分销商。KSK 被用于对"域签名秘钥 (ZSK)"进行加密签名——根区维护人使用 ZSK 对互联网 DNS 中的根区进行 DNSSEC 签名。
维护最新版 KSK 对于确保使用 DNSSEC 验证的 DNS 解析器稳定运行至关重要,这使其能够在秘钥轮转之后继续提供验证服务。未能拥有最新的根区 KSK 将会导致使用 DNSSEC 验证的 DNS 解析器无法解析任何 DNS 查询。
KSK 轮转计划是由根区管理合作伙伴制定的;ICANN 在其中充当 IANA 职能运营商的角色,Verisign 是根区维护人,美国商务部下属的美国国家电信和信息管理局 (NTIA) 则担任根区管理员。其中,NTIA 的角色已于 2016 年 10 月 1 日结束。KSK 轮转计划是在 2016 年 7 月公布的,其中融入了社群根区 KSK 轮转设计团队建议 [PDF,1.01 MB]。
资源
如需了解相关信息和更多资源,请访问:
- 根区 KSK 轮转展望 [PDF, 232 KB]
- 快速指南: 准备系统以进行根区 KSK 轮转 [PDF, 182 KB]
- 查看 DNS 验证解析器中的当前信任锚
- 使用最新的信任锚更新 DNS 验证解析器
- DNSSEC 根区 KSK 建议 [PDF,1.01 MB]
- DNSSEC 信息页
- 人人都学 DNSSEC - 初学者指南 (ICANN55)
- DNSSEC 工作坊 (ICANN55)
- IANA - 根区管理
- SSAC 针对 DNSSEC 根区密钥轮转计划的咨询意见 [PDF,480 KB]
- 根区 KSK 轮转更新网络研讨会 – 演示者:迈特·拉森 (Matt Larson) [PDF,741 KB]
- 关于 2017 KSK 轮转 RFC 8145 信任锚信令的思考与研究 – 作者:来自 Verisign 的杜亚尼·韦瑟尔 (Duane Wessels) [PDF,895 KB]
参与
问题咨询
请发送电子邮件至 globalsupport@icann.org,并在主题行中包含"KSK Rollover"字样,以提交您的问题。
参加活动
请查看活动日程表找到即将举行的 KSK 轮转演示。
社交媒体互动
使用标签 #KeyRoll 加入会话:https://twitter.com/icann
加入 KSK 轮转讨论组
注册相关问题的公共讨论电子邮件组:https://mm.icann.org/listinfo/ksk-rollover
积极宣传
将此网页共享给他人,可帮助他们了解 KSK 轮转的相关信息,以及 KSK 轮转可能会给他们带来哪些影响。
背景
2009 年,RZM 合作伙伴通过协作在根区部署了 DNSSEC,并最终于 2010 年 7 月首次发布了经过验证的已签名根区。
NTIA 针对生成和维护根区 KSK 提出了相关 要求 [PDF,116 KB],并明确了每个 RZM 合作伙伴各自的职责。根区维护人 (Verisign) 和 IANA 职能运营商 (ICANN) 满足这些要求需遵循的规程分别在单独的 DNSSEC 实践声明 (DPS) 中发布:Verisign DNSSEC 签名服务 DPS [PDF,138 KB] 和根区 KSK 运营商 DPS [TXT,99 KB]。
NTIA 与 ICANN 之间的 IANA 职能合同于 2010 年 7 月经过修改,在其中加入了与根区 KSK 管理相关的职责,并且这些要求在此合同的后续修订版本中也继续得以施行。
NTIA 与 Verisign 之间的合作协议也在 2010 年 7 月进行了修改,以反映 Verisign 所承担的根区 ZSK 运营商职责。
IANA 职能合同要求进行根区 KSK 轮转,但未提供详细的要求,也没有详细的时间表或实施计划。根区 KSK 运营商 DPS 中包含如下声明,在第 6.5 节中提出了有关轮转的要求:
"每个根区 KSK 都将按照要求进行安排,通过密钥仪式进行轮转,或在运营 5 年后进行轮转。"
时间表
以下时间安排可能因运营方面的考虑而有所变化。
- 2016 年 10 月 27 日:生成新 KSK,KSK 轮转过程开始。
- 2017 年 7 月 11 日:发布 DNS 中的新 KSK。
- 2017 年 9 月 19 日:增加大小以应对根名称服务器的 DNSKEY 响应。
- 2018 年 2 月 1 日:继续 KSK 轮转计划的公共评议期开始,将于 2018 年 4 月 2 日结束。
- 将在更新根区 KSK 轮转计划时公布更多相关日期
运营规划
- 2017 KSK 轮转运营实施计划[PDF,741 KB] - 详细说明了完成 2017 KSK 轮转计划所需执行的运营步骤,包括八个阶段流程的时间表。- 此文档目前正在进行更新,以反映 2017 年 9 月 27 日宣布的相关推迟事宜。
- 2017 KSK 轮转备份恢复计划[PDF,506 KB] - 根据执行运营计划时发生的异常情况,说明预期可能会出现的偏离运营实施计划的情况。- 此文档目前正在进行更新,以反映 2017 年 9 月 27 日宣布的相关推迟事宜。
- 2017 KSK 轮转外部测试计划[PDF,516 KB] - 内容涵盖如何准备运营测试环境(由一般互联网用户访问),以评估外部系统是否已准备就绪可以参加 KSK 轮转。
- 2017 KSK 轮转监控计划[PDF,480 KB] - 说明在与根服务器的通讯流量中,如何对更改根区信任锚的效果进行监控。
- 2017 KSK 轮转系统测试计划[PDF,519 KB] - 说明在 KSK 轮转过程中涉及对 ICANN 基础设施的更改进行测试时,需要执行哪些操作。
沟通计划
ICANN 正在执行广泛的外展活动,以确保当前正在使用 KSK 的用户知道这一变更。
新闻存档
2016 年 10 月 3 日– ICANN 将首次生成新的 DNSSEC 密钥 (InfoWorld)
2016 年 9 月 19 日 – 维护网络安全的加密密钥首次进行更换 (Motherboard)
2016 年 9 月 15 日 – ICANN 为主要 DNSSEC 安全更新准备网络环境 (V3)
2016 年 8 月 25 日 – 维护互联网安全的 DNSSEC 主密钥即将更改。我们需要担心吗?(Techworld)
2016 年 7 月 22 日 – DNSSEC:轮转根区密钥签名密钥
2016 年 7 月 20 日 – ICANN 将更换互联网安全密钥 (Domain Incite)
2016 年 6 月 21 日 – 安全最佳实践:DNSSEC 验证
2016 年 5 月 9 日 – 更改域名系统 (DNS) 根区的密钥