互联网名称与数字地址分配机构(ICANN)正在为保护互联网域名系统(DNS)的首次加密密钥更改做准备,因此已发布了一份指南,描述了在此过程中的期望。
链接到ICANN的新闻文本 。
计划于2018年10月11日进行密钥更改,该过程称为“密钥签名更新密钥(KSK)更新”。
这份新的ICANN指南面向具有任何技术知识水平的读者。 其中提供的有关预期结果的信息旨在帮助每个人为密钥更新做准备。
该指南是ICANN不断努力的一部分,旨在提高人们对关键更新的认识,并对该过程进行了详细描述。
手册的全文
可在此处获得 。
该手册对于验证解析者的操作人员非常有用,他们需要明确的密钥更新后的期望指示,以及对于没有技术专业知识的记者,博客作者和其他计划在事件发生之前,之中和之后编写密钥更新的人。
此外,该文档对在完成密钥更新过程后将监视DNS解析器故障的研究人员可能有用。
尽管ICANN预计,根区域中的KSK更改对用户的影响将很小,但是,预计一小部分的互联网用户将难以解析域名,这以非技术性语言表示,他们将难以到达其在线目的地。
当前,少数验证域名系统安全扩展(DNSSEC)的递归解析器具有错误的配置,这可能会影响某些依赖这些解析器的用户。
本文档描述了在不同阶段哪些用户可能具有复杂性以及这些复杂性的类型。
简短摘要:
谁更新不会影响:
- 对于依靠具有最新KSK的解析器的用户
- 对于依赖未启用DNSSEC验证的解析器的用户
谁将受到此更新的影响以及如何:
如果在解析程序信任锚配置中未指定新的KSK,则在密钥更新完成后的48小时内,用户将开始收到有关无法解析名称的消息(通常以错误的形式出现,例如“服务器故障”或SERVFAIL)。
注意:无法预测将受更新影响的解析器运算符何时会注意到其验证已停止。
分析结果使我们得出结论,即解析器执行验证的用户中,有99%以上不会受到KSK更新的影响。
至少在升级后使用至少一个解析程序准备升级的用户将不会注意到DNS和Internet使用的任何变化(对于解析程序不包含DNSSEC验证的用户也可以这样说。目前,假定大约三分之二的用户使用不包含DNSSEC验证的解析器。
最后,尽管现在计划将关键更新定于2018年10月11日,但该日期仍有待ICANN董事会批准。
有关与更新密钥有关的所有信息,
请参见此处 。