ICANN已經將新的根區密鑰簽名密鑰更新名稱服務器的期限推遲到2018年初.

admin

ICANN已經將新的根區密鑰簽名密鑰更新名稱服務器的期限推遲到2018年初.

互聯網名稱與數字地址分配機構（ICANN）管理互聯網名稱空間，已經進行了為期一年的努力，以更新用于保護域名系統（DNS）免受濫用的密碼密鑰。用于保護DNS的新的根區“密鑰簽名密鑰”（KSK）是去年生成的。

運營自己的遞歸名稱服務器的互聯網服務提供商，硬件制造商和企業，并在10月11日之前使用域名系統安全擴展（DNSSec）驗證來保護他們的域，在公鑰部分更新系統。當天，ICANN計劃“滾動”，開始使用新的根區域密鑰簽名域名。如果系統沒有使用新的公鑰更新，則在2018年最終撤銷舊密鑰時，DNSSEC驗證將失敗并導致DNS中斷。

根據ICANN從根區域服務器獲得的數據，ISP和大型網絡運營商使用的“大量”解析器不能使用新密鑰。更新用于保護互聯網基礎服務器的加密密鑰是非常狡猾的挑戰，因此更改截止日期并為網絡運營商提供更多時間是有意義的。不要離開多達6000萬人。

我們確定了這些可能對其成功產生不利影響并可能對許多最終用戶的能力產生不利影響的新問題后，進行翻轉將是不負責任的。“ICANN總裁Goran Marby說。 “我們寧愿謹慎合理地進行。”

ICANN沒有公布新的截止日期，但說轉帳將重新安排到2018年第一季度。行政機構將使用該擴展程序與其確定與其合作解決問題的ISP和網絡運營商進行聯系。

缺少最后期限將對常規互聯網用戶造成嚴重后果。 ICANN估計大約7.5億人使用DNSSEC服務器提供的信息瀏覽網頁。互聯網安全先驅Paul Vixie現任首席執行官兼創始人之一，“遭受損失的人將是那些遞歸名稱服務器運營商執行DNSSec驗證但未在出版前期間正確接收，存儲和配置新密鑰的用戶”遠見安全。

DNSSEC的最終根密鑰

域名系統（DNS）作為互聯網的電話簿，將IP地址轉換為易于記憶的域名。然而，DNS的分布式特性使得系統易于劫持，因為用戶通過DNS緩存中毒或DNS欺騙被轉移到欺詐性站點。 2010年推出的DNSSEC協議通過使用加密密鑰對來驗證和驗證DNS查找的結果來阻止劫持。如果DNS響應被篡改，則密鑰不匹配，并且瀏覽器返回錯誤，而不是將用戶發送到錯誤的目的地。

DNSSEC作為一個層次結構，不同的身體負責每個層，并在下面的層中簽名實體的密鑰。密鑰簽名密鑰是密鑰公鑰 - 私鑰對，根區KSK保護層次結構的最上層，DNSSEC驗證的錨點。

DNS解析器依賴于KSK從根區域通過系統的每個層建立的信任鏈，以驗證他們對他們的查詢獲得良好的結果。給定的IP地址確實解決了該域。

鑰匙沒有任何錯誤 - 它沒有被盜或被篡改 - 但是定期旋轉簽名密鑰是很好的安全措施，所以即使它落入錯誤的手中，每個人都已經在使用較新的更強的密鑰。例如，在更新到更新，更強的鍵之前，沒有理由等待發生不好的事情 - 關鍵是被破解。

美國計算機應急小組（US-CERT）在最近的一份咨詢文件中寫道：“更新DNSSEC KSK是一個重要的安全措施，類似于更新PKI根證書。 “保持最新的根KSK作為信任錨點對于確保DNSSEC驗證DNS解析器在翻轉后繼續運行至關重要。”

翻轉過程遇到故障, 遠程控制

全球技術社區的ICANN和志愿者在過去五年中花費了過去五年的時間來開發，審查，改進和測試翻轉計劃，然后在去年通過生成新的KSK開始該過程。 7月份，ICANN發布計劃，概述了翻轉KSK所需的步驟，以便ISP，企業網絡運營商，硬件制造商和執行DNSSEC驗證的其他人員可以使用密鑰對的公共部分更新其系統。即使新的密鑰簽名密鑰將在十月份開始用于簽署域名，DNSSEC將支持舊的和新的密鑰，直到2018年初，讓大家有時間完成翻轉過程。

“運營商可能會在其系統中安裝新密鑰可能有多個原因：一些可能沒有正確配置其解析器軟件，并且一個廣泛使用的解決程序程序中最近發現的問題似乎不會自動更新密鑰，因為它應該由于仍在探索的原因，“ICANN說。

這也可能是一個意識問題 - 足夠的運營商不了解部署過程。 Vixie說：“ICANN正在按時開始使用私有部分[簽署域名]。

Vixie說，這個多步驟，多年過程中最具挑戰性的部分是監督計劃的發展，尋求廣泛的審查和批準，并獲得多個互聯網治理組織的批準來執行計劃。 CTO的ICANN辦事處已經做了很大的努力;技術實施和宣傳過程很容易。

許多組織運營有效的名稱服務器，包括ISP，企業，大學，小型辦公室，甚至愛好用戶。大多數這些遞歸名稱服務器可能已經通過其正常的軟件更新過程從供應商處獲得了帶外關鍵更新，或者計劃在接下來的幾周內收到一個更新。

ICANN建議網絡運營商和ISP確保其系統準備好進行新的翻轉數據，并利用其測試平臺確保解析器的配置正確。管理員需要手動更新缺少RFC 5011支持（自動更新）的DNSSEC驗證器，因為它們不會自動接收，存儲和配置新密鑰。在此期間，離線的任何DNSSEC驗證者在理論上可以在新密鑰全部生效后自動更新，但是只有在舊密鑰正式退出之前，這些驗證器在3月之前在線，才會發生。

在理論上，DNSSEC驗證器可能錯過所有的更新機會，而不是從其根信任錨接收新的密鑰。如果是這種情況，則當舊密鑰被撤銷時，該驗證器將會從2018年3月起從根服務器所收到的所有響應中的DNSSEC驗證失敗。 Vixie說，這種情況最有可能發生在測試實驗室，而不是生產網絡。

雖然大多數名稱服務器都被自動更新，但每個遞歸的驗證名稱服務器操作員都應手動檢查，以確保新密鑰已經被接收，存儲和配置以供驗證使用。沒有必要等到DNSSEC驗證失敗才能發現更新不完整。

DNSSEC驗證對聯邦機構是強制性的，私營部門的采用速度很慢。即使如此，ICANN估計全球有7.5億人依靠DNSSEC驗證，并將受到翻轉影響。雖然在理論上可以估計有多少企業準備在截止日期之前，執行DNSSEC驗證的面向公眾的遞歸名稱服務器的數量非常少，但對于預測全部人口的結果來說，這將是“無用的”，Vixie說, 遠程控制。

ICANN決定放慢速度，因為有太多運營商尚未準備好。它將繼續評估和重新評估，但在這一點上，由信任鏈中的所有其他人來做。 “從這個意義上說，我們正在從DNSSEC的相當稀疏和狹隘的采用中獲益。”Vixie說，他指出，社區由晚期采用者和詳細了解這些問題的人主導。 “過去幾年來，只有一個在火星上生活過的早期采用者才會有麻煩。”

Vixie說，他對如何設計和執行翻轉實施計劃感到非常深刻。按照計劃進行翻轉的事實使得有可能定期進行這種關鍵輪換。預計在2022年的下一輪。

“我早點預測，這不可能做得比我所看到的更多的延遲和痛苦，”Vixie說。 “在不久的將來，它將不再具有新聞價值。”

編者注：這個故事更新了，以反映當前的KSK是2,048位RSA密鑰，而不是原來報道的1024位RSA密鑰。