什么叫根区KSK域名轮转?
互联网域名与数字地址分派组织 (ICANN) 方案轮转或拆换在域名系统安全性拓展 (DNSSEC) 中采用的“顶级”数据加密密钥对,此数据加密密钥对通常称之为根区密钥签字密钥 (KSK)。这将是 KSK 在 2010 年最开始转化成至今的第一次拆换。本次拆换被觉得是一项关键的安全性措施,如同按时拆换登陆密码被当作是互联网客户的慎重之举一样。
拆换密钥必须转化成新的数据加密密钥对,并将新的公共性部件分发送给 DNSSEC 认证解析器。因为每一个应用 DNSSEC 的互联网查看都取决于根区 KSK 来认证总体目标,因而,这将是一项关键的变动。新的密钥已经转化成,营运商(比如 ISP)必须应用新密钥升级她们的系统,便于当客户试着浏览网址时,可以依据新的 KSK 对使用者完成认证。
▶为何必须提前准备系统
现阶段,全世界互联网客户中大概有四分之一根据 DNSSEC 认证解析器来浏览互联网,这种客户会遭受本次 KSK 轮转的危害。假如在轮转 KSK后,这种认证解析器沒有新密钥,取决于这种解析器的终端用户可能碰到不正确,而且无法打开互联网。
假如您不应用 DNSSEC,您的系统将不容易遭受轮转的危害。但是,您应当了解 DNSSEC 是避免域名申请办理后挟持的关键部件。
ICANN 给予了一个测试平台,营运商或一切有关方可以应用这一服务平台确定它们的系统能不能及时处理自动升级全过程。根据浏览下列网站地址,可查验以确保您的系统做好准备:https://go.icann.org/KSKtest。
假如您开启了 DNSSEC 认证,务必应用新 KSK 升级您的系统,以协助保证客户可以成功浏览互联网。
必须进行的工作中 可以应用 2017 年 7 月 11 日公布的新根区 KSK,在轮转以前的一切時间升级您的系统,有一些系统很有可能早已自动升级,您必须采用的实际操作在于下列层面。
假如您的APP适用自动升级 DNSSEC 信赖锚 (RFC 5011):将在合理的時间自动升级KSK。您不用实行别的实际操作。一定要注意,在轮转期内离线的机器设备要是在轮转进行后联网,那麼务必手动式升级这种机器设备。
ICANN 从 2017 年 3 月起给予了一个测试平台,营运商或一切有关方都能够应用这一服务平台来确定它们的系统能不能及时处理自动升级全过程。