域名城(domain.cn)5月12日消息 2010年7月,ICANN會同Verisign及美國商務部國家電信和信息管理局(NTIA)對互聯網域名系統根區啟用了域名系統安全擴展技術(DNSSEC)。通過對DNS數據加密和驗證,DNSSEC有助于提升域名系統的安全性,減少域名劫持攻擊行為。
?
為了保證系統安全,ICANN與Verisign、NTIA正在準備對DNSSEC根區密鑰簽名密鑰(KSK)進行輪轉(也稱為變更)。輪轉KSK意味著會生成一對新的加密公鑰和私鑰,并且會向包括互聯網服務和其他DNS解析運營商、DNS解析軟件開發商、集成商和經銷商在內的各方分發新的公共組件。
?
輪轉工作的計劃時間表如下:
?
?2016年10月:KSK輪轉新密鑰準備流程啟動
?
?2016年11月:生成新的KSK
?
?2017年7月:置入新的KSK
?
?2017年10月:撤除舊的KSK
?
?2018年1月:廢止舊的KSK
?
?2018年3月:KSK輪轉完成
?
ICANN啟用了一個新的網頁https://www.icann.org/resources/pages/ksk-rollover,為輪轉KSK這項工作提供進展更新。我們鼓勵有興趣人士訪問此網頁,了解這項安全措施及其影響。
?
DNSSEC使用短期密鑰即根區簽名密鑰(ZSK)來計算DNS記錄的簽名,使用長期密鑰KSK來計算ZSK的簽名。ZSK每季度滾動更改,以使攻擊者難以“猜測”,而KSK則經過較長時段之后才會更改。
?
北京時間5月13日凌晨1時,ICANN將使用KSK生成2016年第三季度的ZSK,儀式將由來自全球各地的網絡安全專家代表全球互聯網社群見證,并通過網絡進行直播:https://icann.adobeconnect.com/kskceremony。歡迎收看。預知更多詳情,請訪問:https://www.iana.org/dnssec/ceremonies。
?
