ICANN將首次更換網際網路域名系統(DNS)加密金鑰
8月31日電 近日,網際網路名稱與數字地址分配機構 (Internet Corporation for Assigned Names and Numbers, ICANN) 首席技術官 (Chief Technology Officer, CTO) 戴維•康納德 (David Conrad) 在京採訪時表示,ICANN將首次更換維護網際網路域名系統 (Domain Name System, DNS) 根區的金鑰加密金鑰(KSK),並制定了一套流程在世界協調時以前手動更換至新的金鑰。
首席技術官康納德此次北京之行的目的是與當地利益相關方和技術社群展開交流,分享ICANN在域名生態系統中所履行的技術職責,更好地理解中國在網際網路技術方面取得的最新進展,並探討與中國網際網路社群在技術領域的合作。他廣泛拜訪了主管部門、域名產業界,大學及學術研究機構及領先的網際網路公司。
戴維•康納德表示:“全球的網際網路服務提供商和網路運營商均應確保做好金鑰更換準備。否則,他們的使用者將無法查詢域名,無法登入任何一個網際網路網站。”他還指出:“網路運營商應當確保他們擁有最新軟體、已經部署了域名系統安全擴充套件 (DNSSEC)、並已經驗證了其系統能夠自動更換金鑰,或已經制定了一套流程在世界協調時(UTC) 2017 年 10 月 11 日 16:00 時以前手動更換至新的金鑰。”
據悉,金鑰的更換,又稱“輪轉”(rollover),是維護全球 DNS 安全與穩定的重要環節。這與人們普遍接受的運營操作十分類似,即確保重要的安全基礎設施能夠在必要時支援密碼更替一樣。
對於本次更換加金鑰背景時,ICANN亞太運營中心總經理羅嘉榮表示,近年來網際網路出現了很多大範圍網路安全事件,為了提升域名系統 (DNS) 安全性和保護 DNS伺服器不受分散式拒絕服務 (distributed denial of service, DDOS) 的襲擊,因此推广部署更為安全的DNSSEC協議。
DNSSEC是DNS安全性擴充套件的縮寫,DNSSEC透過將公鑰密碼系統引入DNS層次結構,從而為域名生成一個開放的全球公鑰基礎設施(PKI),以此提高DNS的安全性。DNSSEC的優勢在於透過數字簽名,可以防止暗中篡改,保障域名查詢安全,從而抵禦可能攻擊。例如,將終端使用者重定向到冒名的網站或惡意網站以收集密碼,所有的實體使用者都會受影響,這通常稱為快取感染病毒,可以防止快取感染病毒是DNSSEC主要優勢之一。
康納德指出:“我們已經啟動了一個測試平臺,確保網路運營商能夠確定他們已經在 10 月 11 日前對金鑰輪轉做好了充分準備。”
中國信通院網際網路治理研究中心執行主任、網際網路領域主席劉越向記者表示,近年來中國市場的新通用頂級域的域名註冊量增速很快,約佔到全球新通用頂級域市場的50%。目前,中國在新通用頂級域領域一枝獨秀,域名註冊總量及新域名的註冊量排在全球第二位,但域名的應用水平還比較低,重要域名的系統安全也存在巨大隱患。
根據《2015年域名產業發展報告》提供的資料,“涉及國計民生的60%以上域名存在安全問題,需要引起高度重視”。劉越表示,在戴維•康拉德訪問北京期間,中國信通院與ICANN就DNS安全性和穩定性等議題進行了交流,雙方作為彼此的合作伙伴將繼續在這一領域開展合作。
另據瞭解,ICANN總裁兼執行長馬躍然 (Göran Marby) 也已向超過 170 位政府官員(包括 ICANN 政府諮詢委員會 (Government Advisory Committee) 中的監管人員和參與人)致函,請求他們要求位於各自國家內的網路運營商瞭解金鑰更替事宜並做好準備。