趕緊更新你的DNS簽名密鑰，否則10月11日之後無法使用互聯網

這是DNS簽名密鑰有史以來頭一次更改。

DNS監管部門互聯網名稱與數字地址分配機構（ICANN）近日警告，全球的互聯網提供商和系統管理員需要確保自己在運行最新的軟體，否則其客戶無法正常使用互聯網。

相關工作早在2016年5月就開始啟動了，為域名系統（DNS）的基礎確保安全的加密密鑰將首次更新。

繼2016年5月的測試之後，今年2月創建了一種新的密鑰簽名密鑰（KSK），以便人們可以將其添加到相應軟體中。上個月，這個新的密鑰發布到DNS中，將於2017年10月11日16：00協調時間時（UTC）首次用於簽名根區域。到時，任何不使用新密鑰的人會發現自己實際上從互聯網上斷開。

這次更改是由於區域簽名密鑰（ZSK）升級到更長的2048位RSA密鑰，以提供更高的安全性。如今它在長度上將匹配密鑰簽名密鑰（KSK），兩者將重新生成，以創建一對新的加密公鑰和私鑰，為互聯網的命名系統保駕護航。

在三字母縮寫詞（TLA）專業術語中：KSK用於簽名ZSK，而ZSK由根區域維護者（RZM）用於對互聯網DNS的根區域進行DNSSEC簽名。

別太過擔心

只有互聯網基礎設施公司和網路管理員需要擔心這個變化，互聯網用戶無需擔心。

這也不是什麼困難的變化：只要人們使用最新的軟體，並啟用DNSSEC，密鑰就會自動更新。2016年5月進行了測試，目的是為了確保沒有任何意想不到的影響；正由於此後的逐漸推廣工作，互聯網工程師確信整項工作會順利進行下去。但是如果你談論的是全球性分散式網路，世事難料。所以ICANN發布了警告。

如果有人使用過時的軟體，或者堅持手動更改KSK，卻未進行相應的更改，將會怎麼樣？在這種情況下，DNS解析系統將停止工作，因而連接另一頭的任何人將無法訪問所要訪問的網站。當然，他們可能會想出法子，但是那將大費周折，絕對犯不著。

各大互聯網基礎設施公司都很清楚這個問題，這幾個月來一直在計劃切換。不過，ICANN已為任何系統管理員、解析系統操作人員、DNS軟體開發員或安裝根的信任錨（trust anchor）作為軟硬體的一部分，並對這種轉變惴惴不安的其他人搭建了KSK測試網站（https://automated-ksk-test.research.icann.org/）以及信息頁面（https://www.icann.org/resources/pages/ksk-rollover）。

甚至還有一個主題標籤：#KeyRoll，該主題標籤不大活躍，這可以說令人擔憂，也可以說令人寬慰，那取決於你怎麼看待這個問題了。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！