ICANN准备对根区密钥签名密钥（KSK）进行轮转

　　5月12日消息　2010年7月，ICANN会同Verisign及美国商务部国家电信和信息管理局（NTIA）对互联网域名系统根区启用了域名系统安全扩展技术（DNSSEC）。通过对DNS数据加密和验证，DNSSEC有助于提升域名系统的安全性，减少域名劫持攻击行为。

 

　　为了保证系统安全，ICANN与Verisign、NTIA正在准备对DNSSEC根区密钥签名密钥（KSK）进行轮转（也称为变更）。轮转KSK意味着会生成一对新的加密公钥和私钥，并且会向包括互联网服务和其他DNS解析运营商、DNS解析软件开发商、集成商和经销商在内的各方分发新的公共组件。

 

　　轮转工作的计划时间表如下：

 

　　•2016年10月：KSK轮转新密钥准备流程启动

 

　　•2016年11月：生成新的KSK

 

　　•2017年7月：置入新的KSK

 

　　•2017年10月：撤除旧的KSK

 

　　•2018年1月：废止旧的KSK

 

　　•2018年3月：KSK轮转完成

 

　　ICANN启用了一个新的网页https://www.icann.org/resources/pages/ksk-rollover，为轮转KSK这项工作提供进展更新。我们鼓励有兴趣人士访问此网页，了解这项安全措施及其影响。

 

　　DNSSEC使用短期密钥即根区签名密钥（ZSK）来计算DNS记录的签名，使用长期密钥KSK来计算ZSK的签名。ZSK每季度滚动更改，以使攻击者难以“猜测”，而KSK则经过较长时段之后才会更改。

 

　　北京时间5月13日凌晨1时，ICANN将使用KSK生成2016年第三季度的ZSK，仪式将由来自全球各地的网络安全专家代表全球互联网社群见证，并通过网络进行直播：https://icann.adobeconnect.com/kskceremony。欢迎收看。预知更多详情，请访问：https://www.iana.org/dnssec/ceremonies。