輪換Root KSK：更換DNS的信任根

9月16日，ICANN理事會通過了一項(xiàng)決議，指示ICANN組織按計(jì)劃繼續(xù)輪換Root KSK，定于2018年10月11日16:00 UTC更換Root KSK。

2018年10月11日，根密鑰簽名密鑰（Root KSK）即將更換――這是歷史上第一次，這是用于驗(yàn)證所有DNSSEC響應(yīng)的單一信任根。還沒有了解并開始使用新密鑰的驗(yàn)證解析系統(tǒng)將把所有響應(yīng)視作無效，因而導(dǎo)致它們停止回答所有查詢，從而讓用戶無法正常訪問互聯(lián)網(wǎng)。

你準(zhǔn)備好了嗎？

引言/DNSSEC是什么？

域名系統(tǒng)安全擴(kuò)展（DNSSEC）于1997年推出，首次描述DNSSEC的RFC2065同年發(fā)布。DNSSEC為域名系統(tǒng)（DNS）的使用者使用公鑰加密來驗(yàn)證響應(yīng)提供了一種方法。在1997年到2010年7月1日，DNSSEC被一些DNS授權(quán)運(yùn)營商所使用。然而，當(dāng)時沒有一個信任錨（trust anchor），這是可用來驗(yàn)證響應(yīng)的權(quán)威實(shí)體。2010年7月1日，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（ICANN）、Verisign以及國家電信和信息管理局（NTIA）完成了對DNS根區(qū)域進(jìn)行簽名的過程。這樣一來，單個信任根就可以用來驗(yàn)證所有DNSSEC響應(yīng)，假設(shè)DNS鏈上的每個區(qū)域都已簽名。

自2010年7月以來，DNSSEC信任根（又叫根密鑰簽名密鑰，Root KSK）沒有變過。 DNSSEC驗(yàn)證中其他地方使用的許多密鑰已經(jīng)輪換――類似網(wǎng)站的TLS證書，這對于任何公鑰系統(tǒng)來說很常見。在引入目前使用的密鑰KSK-2010的前后，負(fù)責(zé)維護(hù)DNS根區(qū)域的組織：互聯(lián)網(wǎng)號碼分配機(jī)構(gòu)（IANA）編制了《根區(qū)域KSK運(yùn)營商DNSSEC實(shí)踐聲明》文檔。該文檔概述了根區(qū)域的DNSSEC操作，呼吁5年后輪換Root KSK。與之相仿，在2013年，ICANN的安全性和穩(wěn)定性咨詢委員會發(fā)布了一份公告，呼吁輪換Root KSK。輪換Root KSK的過程應(yīng)該在2015年開始，但直到2016年10月才開始。促使KSK-2017創(chuàng)建的Root KSK生成過程開啟了Root KSK的輪換，原計(jì)劃在2017年10月完成。

有一種自動方法可以驗(yàn)證解析系統(tǒng)以了解和安裝新的Root KSK（RFC5011）。然而，驗(yàn)證解析系統(tǒng)不僅需要支持更新方法，還需要能夠觀察密鑰至少30天，并將該密鑰存儲在永久存儲設(shè)備中。在某些情況下，解析系統(tǒng)無法寫入到永久存儲設(shè)備，也無法保留新密鑰。如上所述，不使用新密鑰的驗(yàn)證遞歸解析系統(tǒng)將停止回答查詢，從而讓用戶無法正常訪問互聯(lián)網(wǎng)。由于無法可靠地衡量有多少解析系統(tǒng)沒有安裝新密鑰，因此ICANN理事會作出了決定：推遲部署，以便做好更多的研究和通知工作。延期一年；現(xiàn)在我們離2018年10月11日這個重大日子越來越近了。

諸有關(guān)方已認(rèn)真考慮了輪換Root KSK的計(jì)劃，包括ICANN下面的首席技術(shù)官辦公室以及安全性和穩(wěn)定性咨詢委員會（通過ICANN托管的KSK Roll郵件列表）。意見不一，有的強(qiáng)烈支持今年輪換密鑰，有的強(qiáng)烈反對。爭論雙方都發(fā)現(xiàn)需要更多的數(shù)據(jù)、外聯(lián)和方法，幫助減小對最終用戶造成的影響。 ICANN理事會正在考慮他們在下一次理事會會議（到時做出要不要搞的決定）之前征集的意見，會在下周的某個時間告知社區(qū)。決定公布后，我們會更新此文。

會發(fā)生什么？

如果Root KSK輪換按計(jì)劃進(jìn)行，信任錨Root KSK將從2018年10月11日開始由KSK-2010換成KSK-2017。這將導(dǎo)致響應(yīng)由根DNS域名服務(wù)器來處理，返回現(xiàn)在與新的Root KSK聯(lián)系起來的響應(yīng)。由于根域名服務(wù)器的響應(yīng)中設(shè)置了48小時的生存時間（TTL），因此一些最終用戶可能會在10月11日到10月13日的某個時間段受到影響。受影響的時間主要取決于解析系統(tǒng)上的緩存到期失效的速度多快。受影響的最終用戶可能一開始會遇到主機(jī)未找到錯誤或表明DNS解析無法正常工作的其他征兆；隨著更多緩存條目到期失效，故障似乎會擴(kuò)散到其他域。對于遇到故障的用戶來說，使用ping之類的工具、找到IP地址而不是域名有助于排除常規(guī)的連接問題。對于管理員來說，訪問資源時使用IP地址可以用作某些應(yīng)用的權(quán)宜之計(jì)，直到解析故障被解決。

ICANN的首席技術(shù)官辦公室及其他機(jī)構(gòu)估計(jì)，由于此次輪換，Root KSK輪換將給互聯(lián)用戶帶來不到1%的拒絕服務(wù)（DoS）。這些報(bào)告承認(rèn)，由于根本上無法衡量DNS的某些方面，存在一定程度的不確定性。過去兩年已作出了努力以改進(jìn)衡量，但新數(shù)據(jù)不如我們預(yù)期的那樣具有結(jié)論性。

我如何準(zhǔn)備Root KSK輪換？

如果你是最終用戶，就得依賴DNS服務(wù)提供商（通常是你的ISP），或公共開放解析系統(tǒng)服務(wù)，比如Google DNS（8.8.8.8）、Open DNS（208.67.222.222和208.67.220.220）或Quad 9（9.9.9.9），以便正確處理密鑰輪換。如果用戶使用Akamai的ETP、AnswerX托管平臺以及最新版本的AnswerX（v2017.1或更高版本）或啟用DNSSEC驗(yàn)證功能的Nominum產(chǎn)品，會發(fā)現(xiàn)新的Root KSK信任錨已配置好，輪換發(fā)生時，解析應(yīng)該會繼續(xù)順利進(jìn)行。

想測試自己會不會受Root KSK輪換的影響，第一步可以嘗試訪問http://dnssec-failed.org。如果你能夠解析并加載網(wǎng)頁，表明你用于測試的那臺計(jì)算機(jī)未配置驗(yàn)證解析系統(tǒng)，Root KSK輪換應(yīng)該對該系統(tǒng)沒有影響。請注意，這僅驗(yàn)證訪問URL的設(shè)備是不是在使用DNSSEC驗(yàn)證，物聯(lián)網(wǎng)設(shè)備等其他設(shè)備可能使用不同的遞歸解析系統(tǒng)，沒有簡單的方法來測試。

對于使用驗(yàn)證的解析系統(tǒng)的用戶來說，有一個IETF草案，通常名為KSK Sentinel，它定義了一組特別設(shè)計(jì)的查詢，最終用戶可以用這些查詢來檢查解析系統(tǒng)是否為Root KSK輪換做好了準(zhǔn)備。已設(shè)立了網(wǎng)站https://www.ksk-test.net，幫助最終用戶測試解析系統(tǒng)是否驗(yàn)證DNSSEC、是否支持KSK Sentinel，以及是否已配置好了新的信任錨。KSK Sentinel比較新，僅部署到了少數(shù)遞歸解析系統(tǒng)。使用這個方法好不好，就看運(yùn)氣了，但到目前為止，除了聯(lián)系你的遞歸解析系統(tǒng)運(yùn)營商外，它是唯一可用來測試遞歸解析系統(tǒng)是否為Root KSK輪換做好準(zhǔn)備的方法了。

如果你是遞歸解析系統(tǒng)運(yùn)營商，ICANN提供的網(wǎng)頁可幫助你逐步檢查及/或更新大量解析系統(tǒng)平臺上的信任錨。運(yùn)營商可能還應(yīng)該考慮檢查自己的平臺是否支持RFC5011，這種協(xié)議可自動更新和配置新的信任貓。如果這次Root KSK輪換按計(jì)劃進(jìn)行，RFC5011更新將無濟(jì)于事，因?yàn)樵搮f(xié)議需要30天才能完成，因此2018年9月10日是可以啟用該功能的最后一天。

此外，網(wǎng)絡(luò)運(yùn)營商應(yīng)檢查電子郵件，看看有沒有主題行是“關(guān)于ASXXXXX中未準(zhǔn)備好的DNSSSEC驗(yàn)證解析系統(tǒng)的重要DNS信息”的郵件，其中XXXXX換成你的自治系統(tǒng)（AS）編號。這類電子郵件讓運(yùn)營商對于出現(xiàn)在根域名服務(wù)器的日志中的解析系統(tǒng)有一番了解，這些服務(wù)器對于是否支持新的Root KSK并不確定。一些根域名服務(wù)器處理的請求常常與可能沒有為Root KSK輪換做好準(zhǔn)備的驗(yàn)證解析系統(tǒng)關(guān)聯(lián)起來，這些服務(wù)器已看到出現(xiàn)在這些報(bào)告中的IP地址。收到這些報(bào)告的管理員應(yīng)利用ICANN提供的程序來檢查及/或更新解析系統(tǒng)。由于客戶端可能通過非驗(yàn)證遞歸解析系統(tǒng)發(fā)出同樣的查詢，因此可能會出現(xiàn)誤報(bào)。

面對Root KSK輪換，權(quán)威域名服務(wù)器的運(yùn)營商受客戶端使用的遞歸解析系統(tǒng)的支配，這意味著無法通過修改權(quán)威服務(wù)來糾正解析故障。