互联网名称与数字地址分配机构(ICANN)于近日宣布,计划于2026年10月11日对域名系统(DNS)的信任锚进行轮换。这项被称为“密钥签名密钥(KSK)轮换”的操作,是维护DNS长期安全、稳定与弹性的关键举措。
信任锚的正式名称为域名系统安全扩展(DNSSEC)根区密钥签名密钥(KSK)。作为DNSSEC信任锚的核心加密密钥,KSK用于验证DNS响应是否真实、在传输过程中是否被篡改。DNSSEC通过这套机制帮助确保互联网用户访问网站或在线服务时获取到真实的DNS数据。轮换过程将以新密钥替换当前密钥,以维持全球DNS的高强度加密安全防护。
轮换时间线与实施安排
ICANN通过旗下互联网号码分配机构(IANA)功能管理DNS根区,并与全球互联网社区合作伙伴协调这次轮换。轮换遵循从2024年启动、至2027年结束的分阶段实施时间线。在此期间,当前KSK和新KSK均保持有效,为递归解析器(即互联网服务提供商、企业等代表用户查询和验证DNS信息的系统)留出时间采纳新信任锚。2026年10月,新KSK将开始签名根区,旧密钥则于2027年1月退役。
“信任锚轮换是一个精心协调的过程,有助于维护DNS的完整性,”ICANN下属公共技术标识符(PTI)总裁兼IANA服务副总裁Kim Davies表示。“大多数互联网用户不会注意到任何变化,但DNS软件的运营商应提前确认其系统已正确配置为信任新密钥。”
运营商需提前做好准备
为降低中断风险,ICANN提前发布新KSK,允许受影响运营商有充足时间更新系统,并验证自动信任锚更新机制的功能是否正常。特别建议运行验证递归解析器的运营商(尤其是那些配置了手动信任锚或使用较旧软件的系统)审查自身系统,确认对轮换的准备工作就绪。未能及时更新配置可能导致验证失败,影响用户对DNS解析结果的信任。
此次轮换是ICANN长期安全维护计划的一部分,旨在持续提升域名系统的抗攻击能力,保障全球互联网基础设施的稳健运行。
本文参考来源:TechPowerUp
