近日,互联网名称与数字地址分配机构 (Internet Corporation for Assigned Names and Numbers, ICANN) 首席技术官 (Chief Technology Officer, CTO) 戴维·康纳德 (David Conrad) 在京采访时表示,ICANN将首次更换维护互联网域名系统 (Domain Name System, DNS) 根区的密钥加密密钥(KSK),并制定了一套流程在世界协调时以前手动更换至新的密钥。

ICANN将首次更换互联网域名系统(DNS)加密密钥

首席技术官康纳德此次北京之行的目的是与当地利益相关方和技术社群展开交流,分享ICANN在域名生态系统中所履行的技术职责,更好地理解中国在互联网技术方面取得的最新进展,并探讨与中国互联网社群在技术领域的合作。他广泛拜访了主管部门、域名产业界,大学及学术研究机构及领先的互联网公司。

戴维·康纳德表示:“全球的互联网服务提供商和网络运营商均应确保做好密钥更换准备。否则,他们的用户将无法查询域名,无法登录任何一个互联网网站。”他还指出:“网络运营商应当确保他们拥有最新软件、已经部署了域名系统安全扩展 (DNSSEC)、并已经验证了其系统能够自动更换密钥,或已经制定了一套流程在世界协调时(UTC) 2017 年 10 月 11 日 16:00 时以前手动更换至新的密钥。”

据悉,密钥的更换,又称“轮转”(rollover),是维护全球 DNS 安全与稳定的重要环节。这与人们普遍接受的运营操作十分类似,即确保重要的安全基础设施能够在必要时支持密码更替一样。

对于本次更换加密钥背景时,ICANN亚太运营中心总经理罗嘉荣表示,近年来互联网出现了很多大范围网络安全事件,为了提升域名系统 (DNS) 安全性和保护 DNS服务器不受分布式拒绝服务 (distributed denial of service, DDOS) 的袭击,因此推广部署更为安全的DNSSEC协议。

DNSSEC是DNS安全性扩展的缩写,DNSSEC通过将公钥密码系统引入DNS层次结构,从而为域名生成一个开放的全球公钥基础设施(PKI),以此提高DNS的安全性。DNSSEC的优势在于通过数字签名,可以防止暗中篡改,保障域名查询安全,从而抵御可能攻击。例如,将最终用户重定向到冒名的网站或恶意网站以收集密码,所有的实体用户都会受影响,这通常称为缓存感染病毒,可以防止缓存感染病毒是DNSSEC主要优势之一。

康纳德指出:“我们已经启动了一个测试平台,确保网络运营商能够确定他们已经在 10 月 11 日前对密钥轮转做好了充分准备。”

中国信通院互联网治理研究中心执行主任、互联网领域主席刘越向记者表示,近年来中国市场的新通用顶级域的域名注册量增速很快,约占到全球新通用顶级域市场的50%。目前,中国在新通用顶级域领域一枝独秀,域名注册总量及新域名的注册量排在全球第二位,但域名的应用水平还比较低,重要域名的系统安全也存在巨大隐患。

根据《2015年域名产业发展报告》提供的资料,“涉及国计民生的60%以上域名存在安全问题,需要引起高度重视”。刘越表示,在戴维·康拉德访问北京期间,中国信通院与ICANN就DNS安全性和稳定性等议题进行了交流,双方作为彼此的合作伙伴将继续在这一领域开展合作。

另据了解,ICANN总裁兼首席执行官马跃然 (Gran Marby) 也已向超过 170 位政府官员(包括 ICANN 政府咨询委员会 (Government Advisory Committee) 中的监管人员和参与人)致函,请求他们要求位于各自国家内的网络运营商了解密钥更替事宜并做好准备。