ICANN已經(jīng)將新的根區(qū)密鑰簽名密鑰更新名稱服務(wù)器的期限推遲到2018年初.

admin

ICANN已經(jīng)將新的根區(qū)密鑰簽名密鑰更新名稱服務(wù)器的期限推遲到2018年初.

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)（ICANN）管理互聯(lián)網(wǎng)名稱空間，已經(jīng)進行了為期一年的努力，以更新用于保護域名系統(tǒng)（DNS）免受濫用的密碼密鑰。用于保護DNS的新的根區(qū)“密鑰簽名密鑰”（KSK）是去年生成的。

運營自己的遞歸名稱服務(wù)器的互聯(lián)網(wǎng)服務(wù)提供商，硬件制造商和企業(yè)，并在10月11日之前使用域名系統(tǒng)安全擴展（DNSSec）驗證來保護他們的域，在公鑰部分更新系統(tǒng)。當(dāng)天，ICANN計劃“滾動”，開始使用新的根區(qū)域密鑰簽名域名。如果系統(tǒng)沒有使用新的公鑰更新，則在2018年最終撤銷舊密鑰時，DNSSEC驗證將失敗并導(dǎo)致DNS中斷。

根據(jù)ICANN從根區(qū)域服務(wù)器獲得的數(shù)據(jù)，ISP和大型網(wǎng)絡(luò)運營商使用的“大量”解析器不能使用新密鑰。更新用于保護互聯(lián)網(wǎng)基礎(chǔ)服務(wù)器的加密密鑰是非常狡猾的挑戰(zhàn)，因此更改截止日期并為網(wǎng)絡(luò)運營商提供更多時間是有意義的。不要離開多達6000萬人。

我們確定了這些可能對其成功產(chǎn)生不利影響并可能對許多最終用戶的能力產(chǎn)生不利影響的新問題后，進行翻轉(zhuǎn)將是不負(fù)責(zé)任的。“ICANN總裁Goran Marby說。 “我們寧愿謹(jǐn)慎合理地進行�！�

ICANN沒有公布新的截止日期，但說轉(zhuǎn)帳將重新安排到2018年第一季度。行政機構(gòu)將使用該擴展程序與其確定與其合作解決問題的ISP和網(wǎng)絡(luò)運營商進行聯(lián)系。

缺少最后期限將對常規(guī)互聯(lián)網(wǎng)用戶造成嚴(yán)重后果。 ICANN估計大約7.5億人使用DNSSEC服務(wù)器提供的信息瀏覽網(wǎng)頁�；ヂ�(lián)網(wǎng)安全先驅(qū)Paul Vixie現(xiàn)任首席執(zhí)行官兼創(chuàng)始人之一，“遭受損失的人將是那些遞歸名稱服務(wù)器運營商執(zhí)行DNSSec驗證但未在出版前期間正確接收，存儲和配置新密鑰的用戶”遠(yuǎn)見安全。

DNSSEC的最終根密鑰

域名系統(tǒng)（DNS）作為互聯(lián)網(wǎng)的電話簿，將IP地址轉(zhuǎn)換為易于記憶的域名。然而，DNS的分布式特性使得系統(tǒng)易于劫持，因為用戶通過DNS緩存中毒或DNS欺騙被轉(zhuǎn)移到欺詐性站點。 2010年推出的DNSSEC協(xié)議通過使用加密密鑰對來驗證和驗證DNS查找的結(jié)果來阻止劫持。如果DNS響應(yīng)被篡改，則密鑰不匹配，并且瀏覽器返回錯誤，而不是將用戶發(fā)送到錯誤的目的地。

DNSSEC作為一個層次結(jié)構(gòu)，不同的身體負(fù)責(zé)每個層，并在下面的層中簽名實體的密鑰。密鑰簽名密鑰是密鑰公鑰 - 私鑰對，根區(qū)KSK保護層次結(jié)構(gòu)的最上層，DNSSEC驗證的錨點。

DNS解析器依賴于KSK從根區(qū)域通過系統(tǒng)的每個層建立的信任鏈，以驗證他們對他們的查詢獲得良好的結(jié)果。給定的IP地址確實解決了該域。

鑰匙沒有任何錯誤 - 它沒有被盜或被篡改 - 但是定期旋轉(zhuǎn)簽名密鑰是很好的安全措施，所以即使它落入錯誤的手中，每個人都已經(jīng)在使用較新的更強的密鑰。例如，在更新到更新，更強的鍵之前，沒有理由等待發(fā)生不好的事情 - 關(guān)鍵是被破解。

美國計算機應(yīng)急小組（US-CERT）在最近的一份咨詢文件中寫道：“更新DNSSEC KSK是一個重要的安全措施，類似于更新PKI根證書。 “保持最新的根KSK作為信任錨點對于確保DNSSEC驗證DNS解析器在翻轉(zhuǎn)后繼續(xù)運行至關(guān)重要�！�

翻轉(zhuǎn)過程遇到故障, 遠(yuǎn)程控制

全球技術(shù)社區(qū)的ICANN和志愿者在過去五年中花費了過去五年的時間來開發(fā)，審查，改進和測試翻轉(zhuǎn)計劃，然后在去年通過生成新的KSK開始該過程。 7月份，ICANN發(fā)布計劃，概述了翻轉(zhuǎn)KSK所需的步驟，以便ISP，企業(yè)網(wǎng)絡(luò)運營商，硬件制造商和執(zhí)行DNSSEC驗證的其他人員可以使用密鑰對的公共部分更新其系統(tǒng)。即使新的密鑰簽名密鑰將在十月份開始用于簽署域名，DNSSEC將支持舊的和新的密鑰，直到2018年初，讓大家有時間完成翻轉(zhuǎn)過程。

“運營商可能會在其系統(tǒng)中安裝新密鑰可能有多個原因：一些可能沒有正確配置其解析器軟件，并且一個廣泛使用的解決程序程序中最近發(fā)現(xiàn)的問題似乎不會自動更新密鑰，因為它應(yīng)該由于仍在探索的原因，“ICANN說。

這也可能是一個意識問題 - 足夠的運營商不了解部署過程。 Vixie說：“ICANN正在按時開始使用私有部分[簽署域名]。

Vixie說，這個多步驟，多年過程中最具挑戰(zhàn)性的部分是監(jiān)督計劃的發(fā)展，尋求廣泛的審查和批準(zhǔn)，并獲得多個互聯(lián)網(wǎng)治理組織的批準(zhǔn)來執(zhí)行計劃。 CTO的ICANN辦事處已經(jīng)做了很大的努力;技術(shù)實施和宣傳過程很容易。

許多組織運營有效的名稱服務(wù)器，包括ISP，企業(yè)，大學(xué)，小型辦公室，甚至愛好用戶。大多數(shù)這些遞歸名稱服務(wù)器可能已經(jīng)通過其正常的軟件更新過程從供應(yīng)商處獲得了帶外關(guān)鍵更新，或者計劃在接下來的幾周內(nèi)收到一個更新。

ICANN建議網(wǎng)絡(luò)運營商和ISP確保其系統(tǒng)準(zhǔn)備好進行新的翻轉(zhuǎn)數(shù)據(jù)，并利用其測試平臺確保解析器的配置正確。管理員需要手動更新缺少RFC 5011支持（自動更新）的DNSSEC驗證器，因為它們不會自動接收，存儲和配置新密鑰。在此期間，離線的任何DNSSEC驗證者在理論上可以在新密鑰全部生效后自動更新，但是只有在舊密鑰正式退出之前，這些驗證器在3月之前在線，才會發(fā)生。

在理論上，DNSSEC驗證器可能錯過所有的更新機會，而不是從其根信任錨接收新的密鑰。如果是這種情況，則當(dāng)舊密鑰被撤銷時，該驗證器將會從2018年3月起從根服務(wù)器所收到的所有響應(yīng)中的DNSSEC驗證失敗。 Vixie說，這種情況最有可能發(fā)生在測試實驗室，而不是生產(chǎn)網(wǎng)絡(luò)。

雖然大多數(shù)名稱服務(wù)器都被自動更新，但每個遞歸的驗證名稱服務(wù)器操作員都應(yīng)手動檢查，以確保新密鑰已經(jīng)被接收，存儲和配置以供驗證使用。沒有必要等到DNSSEC驗證失敗才能發(fā)現(xiàn)更新不完整。

DNSSEC驗證對聯(lián)邦機構(gòu)是強制性的，私營部門的采用速度很慢。即使如此，ICANN估計全球有7.5億人依靠DNSSEC驗證，并將受到翻轉(zhuǎn)影響。雖然在理論上可以估計有多少企業(yè)準(zhǔn)備在截止日期之前，執(zhí)行DNSSEC驗證的面向公眾的遞歸名稱服務(wù)器的數(shù)量非常少，但對于預(yù)測全部人口的結(jié)果來說，這將是“無用的”，Vixie說, 遠(yuǎn)程控制。

ICANN決定放慢速度，因為有太多運營商尚未準(zhǔn)備好。它將繼續(xù)評估和重新評估，但在這一點上，由信任鏈中的所有其他人來做。 “從這個意義上說，我們正在從DNSSEC的相當(dāng)稀疏和狹隘的采用中獲益�！盫ixie說，他指出，社區(qū)由晚期采用者和詳細(xì)了解這些問題的人主導(dǎo)。 “過去幾年來，只有一個在火星上生活過的早期采用者才會有麻煩�！�

Vixie說，他對如何設(shè)計和執(zhí)行翻轉(zhuǎn)實施計劃感到非常深刻。按照計劃進行翻轉(zhuǎn)的事實使得有可能定期進行這種關(guān)鍵輪換。預(yù)計在2022年的下一輪。

“我早點預(yù)測，這不可能做得比我所看到的更多的延遲和痛苦，”Vixie說。 “在不久的將來，它將不再具有新聞價值�！�

編者注：這個故事更新了，以反映當(dāng)前的KSK是2,048位RSA密鑰，而不是原來報道的1024位RSA密鑰。