欢迎光临
我们一直在努力

ICANN为什么要进行KSK密钥轮转

ICANN为什么要进行KSK密钥轮转

从2008年开始,为了维护全球域名系统的安全与稳定,ICANN开始推广部署DNSSEC。

DNSSEC的优势在于通过数字签名,防止对域名查询的暗中篡改,从而保障域名查询安全,并抵御可能攻击。KSK在DNSSEC中发挥着重要作用。KSK是一对加密公/私密钥,执行DNSSEC验证功能的软件将信任根区的KSK并创建后续密钥和签名的“信任链”,以验证DNS解析过程中任何环节签名数据的真实性。虽然根区的密钥安全度非常高,但和其他密码一样,始终保持密钥不变也是有安全风险的,密钥也需要定期进行更新,即密钥更换,又称“轮转”(rollover),是维护全球DNS安全与稳定的重要环节。

KSK用于对区域签名密钥(ZSK)进行加密签名,根区域维护者使用ZSK对互联网DNS的根区域进行DNSSEC签名。维护最新的KSK对于确保负责DNSSEC验证的DNS解析系统在轮换后继续正常运行至关重要。如果没有最新的根区域KSK,将意味着负责DNSSEC验证的DNS解析系统将无法解析任何DNS查询。

密钥轮转是如何进行的?

轮转KSK意味着生成新的加密公钥和私钥对,并将新的公共组件分发给操作验证解析系统的有关方,包括:互联网服务提供商、企业网络管理员及其他域名系统(DNS)解析系统运营商、DNS解析系统软件开发商、系统集成商,以及安装或发送根区域“信任锚”(trust anchor)的软硬件分发商。若未开启DNSSEC验证,那轮转影响不会很大,若已经开启,则需保证拥有最新软件、已经部署了DNSSEC、并已经验证其系统能够自动更换密钥。

KSK的轮转原本预计在一年以前进行,但当 ICANN 找到轮转前的最新数据并对其分析后,决定暂缓密钥轮转。又经过一年时间的技术准备,ICANN已于10月11日启动密钥轮转。尽管之前各种消息提示,如“互联网将在不到12小时内‘关闭’,以便ICANN进行DNS加密密钥的更新”、“全球互联网换密码、上网将受短暂影响”等,但就目前ICANN统计的信息来看,自根区KSK轮转启动以后,暂未发现任何有关根区 KSK 轮转的严重问题。

泰策作为国内领先的DNS系统解决方案提供商,已为国内多家省级电信运营商提供DNS系统方案及技术支持。虽然由于国内的缓存/递归服务器还没有开启DNSSEC,所以在此次KSK轮转过程中各运营商的DNS系统没未有经受考验,但泰策一直在跟踪最新的业界技术发展和动态,包括DNSSEC的发展和技术要求等,我们会一如既往地全力保障电信运营商DNS系统的稳定运行,保证广大用户的上网体验。

未经允许不得转载:互联网产品经理 » ICANN为什么要进行KSK密钥轮转
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

互联网产品经理-您身边的产品专家

联系我们联系我们