您的位置:Oray首页 > 客服中心首页 > 域名服务 > ICANN准备对根区密钥签名密钥(KSK)进行轮转

ICANN准备对根区密钥签名密钥(KSK)进行轮转

  2010年7月,ICANN会同Verisign及美国商务部国家电信和信息管理局(NTIA)对互联网域名系统根区启用了域名系统安全扩展技术(DNSSEC)。通过对DNS数据加密和验证,DNSSEC有助于提升域名系统的安全性,减少域名劫持攻击行为。

  为了保证系统安全,ICANN与Verisign、NTIA正在准备对DNSSEC根区密钥签名密钥(KSK)进行轮转(也称为变更)。轮转KSK意味着会生成一对新的加密公钥和私钥,并且会向包括互联网服务和其他DNS解析运营商、DNS解析软件开发商、集成商和经销商在内的各方分发新的公共组件。

  轮转工作的计划时间表如下:

  ?2016年10月:KSK轮转新密钥准备流程启动

  ?2016年11月:生成新的KSK

  ?2017年7月:置入新的KSK

  ?2017年10月:撤除旧的KSK

  ?2018年1月:废止旧的KSK

  ?2018年3月:KSK轮转完成

  ICANN启用了一个新的网页,为轮转KSK这项工作提供进展更新。我们鼓励有兴趣人士访问此网页,了解这项安全措施及其影响。

  DNSSEC使用短期密钥即根区签名密钥(ZSK)来计算DNS记录的签名,使用长期密钥KSK来计算ZSK的签名。ZSK每季度滚动更改,以使攻击者难以“猜测”,而KSK则经过较长时段之后才会更改。

  北京时间5月13日凌晨1时,ICANN将使用KSK生成2016年第三季度的ZSK,仪式将由来自全球各地的网络安全专家代表全球互联网社群见证。

  阅读本文的人还阅读了:

  向日葵打造私有云盘解决方案

  【教程】用花生壳来创建服务器(告别hamachi)