DNS大事件：10月11日更換Root KSK，未更新將無(wú)法使

輪換Root KSK：更換DNS的信任根

9月16日，ICANN理事會(huì )通過(guò)了一項決議，指示ICANN組織按計劃繼續輪換Root KSK，定于2018年10月11日16:00 UTC更換Root KSK。

2018年10月11日，根密鑰簽名密鑰（Root KSK）即將更換――這是歷史上第一次，這是用于驗證所有DNSSEC響應的單一信任根。還沒(méi)有了解并開(kāi)始使用新密鑰的驗證解析系統將把所有響應視作無(wú)效，因而導致它們停止回答所有查詢(xún)，從而讓用戶(hù)無(wú)法正常訪(fǎng)問(wèn)互聯(lián)網(wǎng)。

你準備好了嗎？

引言/DNSSEC是什么？

域名系統安全擴展（DNSSEC）于1997年推出，首次描述DNSSEC的RFC2065同年發(fā)布。DNSSEC為域名系統（DNS）的使用者使用公鑰加密來(lái)驗證響應提供了一種方法。在1997年到2010年7月1日，DNSSEC被一些DNS授權運營(yíng)商所使用。然而，當時(shí)沒(méi)有一個(gè)信任錨（trust anchor），這是可用來(lái)驗證響應的權威實(shí)體。2010年7月1日，互聯(lián)網(wǎng)名稱(chēng)與數字地址分配機構（ICANN）、Verisign以及國家電信和信息管理局（NTIA）完成了對DNS根區域進(jìn)行簽名的過(guò)程。這樣一來(lái)，單個(gè)信任根就可以用來(lái)驗證所有DNSSEC響應，假設DNS鏈上的每個(gè)區域都已簽名。

自2010年7月以來(lái)，DNSSEC信任根（又叫根密鑰簽名密鑰，Root KSK）沒(méi)有變過(guò)。 DNSSEC驗證中其他地方使用的許多密鑰已經(jīng)輪換――類(lèi)似網(wǎng)站的TLSssl/' target='_blank'>證書(shū)，這對于任何公鑰系統來(lái)說(shuō)很常見(jiàn)。在引入目前使用的密鑰KSK-2010的前后，負責維護DNS根區域的組織：互聯(lián)網(wǎng)號碼分配機構（IANA）編制了《根區域KSK運營(yíng)商DNSSEC實(shí)踐聲明》文檔。該文檔概述了根區域的DNSSEC操作，呼吁5年后輪換Root KSK。與之相仿，在2013年，ICANN的安全性和穩定性咨詢(xún)委員會(huì )發(fā)布了一份公告，呼吁輪換Root KSK。輪換Root KSK的過(guò)程應該在2015年開(kāi)始，但直到2016年10月才開(kāi)始。促使KSK-2017創(chuàng )建的Root KSK生成過(guò)程開(kāi)啟了Root KSK的輪換，原計劃在2017年10月完成。

有一種自動(dòng)方法可以驗證解析系統以了解和安裝新的Root KSK（RFC5011）。然而，驗證解析系統不僅需要支持更新方法，還需要能夠觀(guān)察密鑰至少30天，并將該密鑰存儲在永久存儲設備中。在某些情況下，解析系統無(wú)法寫(xiě)入到永久存儲設備，也無(wú)法保留新密鑰。如上所述，不使用新密鑰的驗證遞歸解析系統將停止回答查詢(xún)，從而讓用戶(hù)無(wú)法正常訪(fǎng)問(wèn)互聯(lián)網(wǎng)。由于無(wú)法可靠地衡量有多少解析系統沒(méi)有安裝新密鑰，因此ICANN理事會(huì )作出了決定：推遲部署，以便做好更多的研究和通知工作。延期一年；現在我們離2018年10月11日這個(gè)重大日子越來(lái)越近了。

諸有關(guān)方已認真考慮了輪換Root KSK的計劃，包括ICANN下面的首席技術(shù)官辦公室以及安全性和穩定性咨詢(xún)委員會(huì )（通過(guò)ICANN托管的KSK Roll郵件列表）。意見(jiàn)不一，有的強烈支持今年輪換密鑰，有的強烈反對。爭論雙方都發(fā)現需要更多的數據、外聯(lián)和方法，幫助減小對最終用戶(hù)造成的影響。 ICANN理事會(huì )正在考慮他們在下一次理事會(huì )會(huì )議（到時(shí)做出要不要搞的決定）之前征集的意見(jiàn)，會(huì )在下周的某個(gè)時(shí)間告知社區。決定公布后，我們會(huì )更新此文。

會(huì )發(fā)生什么？

如果Root KSK輪換按計劃進(jìn)行，信任錨Root KSK將從2018年10月11日開(kāi)始由KSK-2010換成KSK-2017。這將導致響應由根DNS域名服務(wù)器來(lái)處理，返回現在與新的Root KSK聯(lián)系起來(lái)的響應。由于根域名服務(wù)器的響應中設置了48小時(shí)的生存時(shí)間（TTL），因此一些最終用戶(hù)可能會(huì )在10月11日到10月13日的某個(gè)時(shí)間段受到影響。受影響的時(shí)間主要取決于解析系統上的緩存到期失效的速度多快。受影響的最終用戶(hù)可能一開(kāi)始會(huì )遇到主機未找到錯誤或表明DNS解析無(wú)法正常工作的其他征兆；隨著(zhù)更多緩存條目到期失效，故障似乎會(huì )擴散到其他域。對于遇到故障的用戶(hù)來(lái)說(shuō)，使用ping之類(lèi)的工具、找到IP地址而不是域名有助于排除常規的連接問(wèn)題。對于管理員來(lái)說(shuō)，訪(fǎng)問(wèn)資源時(shí)使用IP地址可以用作某些應用的權宜之計，直到解析故障被解決。

ICANN的首席技術(shù)官辦公室及其他機構估計，由于此次輪換，Root KSK輪換將給互聯(lián)用戶(hù)帶來(lái)不到1%的拒絕服務(wù)（DoS）。這些報告承認，由于根本上無(wú)法衡量DNS的某些方面，存在一定程度的不確定性。過(guò)去兩年已作出了努力以改進(jìn)衡量，但新數據不如我們預期的那樣具有結論性。

我如何準備Root KSK輪換？

如果你是最終用戶(hù)，就得依賴(lài)DNS服務(wù)提供商（通常是你的ISP），或公共開(kāi)放解析系統服務(wù)，比如Google DNS（8.8.8.8）、Open DNS（208.67.222.222和208.67.220.220）或Quad 9（9.9.9.9），以便正確處理密鑰輪換。如果用戶(hù)使用Akamai的ETP、AnswerX托管平臺以及最新版本的AnswerX（v2017.1或更高版本）或啟用DNSSEC驗證功能的Nominum產(chǎn)品，會(huì )發(fā)現新的Root KSK信任錨已配置好，輪換發(fā)生時(shí)，解析應該會(huì )繼續順利進(jìn)行。

想測試自己會(huì )不會(huì )受Root KSK輪換的影響，第一步可以嘗試訪(fǎng)問(wèn)http://dnssec-failed.org。如果你能夠解析并加載網(wǎng)頁(yè)，表明你用于測試的那臺計算機未配置驗證解析系統，Root KSK輪換應該對該系統沒(méi)有影響。請注意，這僅驗證訪(fǎng)問(wèn)URL的設備是不是在使用DNSSEC驗證，物聯(lián)網(wǎng)設備等其他設備可能使用不同的遞歸解析系統，沒(méi)有簡(jiǎn)單的方法來(lái)測試。

對于使用驗證的解析系統的用戶(hù)來(lái)說(shuō)，有一個(gè)IETF草案，通常名為KSK Sentinel，它定義了一組特別設計的查詢(xún)，最終用戶(hù)可以用這些查詢(xún)來(lái)檢查解析系統是否為Root KSK輪換做好了準備。已設立了網(wǎng)站https://www.ksk-test.net，幫助最終用戶(hù)測試解析系統是否驗證DNSSEC、是否支持KSK Sentinel，以及是否已配置好了新的信任錨。KSK Sentinel比較新，僅部署到了少數遞歸解析系統。使用這個(gè)方法好不好，就看運氣了，但到目前為止，除了聯(lián)系你的遞歸解析系統運營(yíng)商外，它是唯一可用來(lái)測試遞歸解析系統是否為Root KSK輪換做好準備的方法了。

如果你是遞歸解析系統運營(yíng)商，ICANN提供的網(wǎng)頁(yè)可幫助你逐步檢查及/或更新大量解析系統平臺上的信任錨。運營(yíng)商可能還應該考慮檢查自己的平臺是否支持RFC5011，這種協(xié)議可自動(dòng)更新和配置新的信任貓。如果這次Root KSK輪換按計劃進(jìn)行，RFC5011更新將無(wú)濟于事，因為該協(xié)議需要30天才能完成，因此2018年9月10日是可以啟用該功能的最后一天。

此外，網(wǎng)絡(luò )運營(yíng)商應檢查電子郵件，看看有沒(méi)有主題行是“關(guān)于A(yíng)SXXXXX中未準備好的DNSSSEC驗證解析系統的重要DNS信息”的郵件，其中XXXXX換成你的自治系統（AS）編號。這類(lèi)電子郵件讓運營(yíng)商對于出現在根域名服務(wù)器的日志中的解析系統有一番了解，這些服務(wù)器對于是否支持新的Root KSK并不確定。一些根域名服務(wù)器處理的請求常常與可能沒(méi)有為Root KSK輪換做好準備的驗證解析系統關(guān)聯(lián)起來(lái)，這些服務(wù)器已看到出現在這些報告中的IP地址。收到這些報告的管理員應利用ICANN提供的程序來(lái)檢查及/或更新解析系統。由于客戶(hù)端可能通過(guò)非驗證遞歸解析系統發(fā)出同樣的查詢(xún)，因此可能會(huì )出現誤報。

面對Root KSK輪換，權威域名服務(wù)器的運營(yíng)商受客戶(hù)端使用的遞歸解析系統的支配，這意味著(zhù)無(wú)法通過(guò)修改權威服務(wù)來(lái)糾正解析故障。

發(fā)布者：水橋丶帕露西