|
ICANN已经将新的根区密钥签名密钥更新名称服务器的期限推迟到2018年初.
远程控制
互联网名称与数字地址分配机构(ICANN)管理互联网名称空间,已经进行了为期一年的努力,以更新用于保护域名系统(DNS)免受滥用的密码密钥。用于保护DNS的新的根区“密钥签名密钥”(KSK)是去年生成的。
运营自己的递归名称服务器的互联网服务提供商,硬件制造商和企业,并在10月11日之前使用域名系统安全扩展(DNSSec)验证来保护他们的域,在公钥部分更新系统。当天,ICANN计划“滚动”,开始使用新的根区域密钥签名域名。如果系统没有使用新的公钥更新,则在2018年最终撤销旧密钥时,DNSSEC验证将失败并导致DNS中断。
根据ICANN从根区域服务器获得的数据,ISP和大型网络运营商使用的“大量”解析器不能使用新密钥。更新用于保护互联网基础服务器的加密密钥是非常狡猾的挑战,因此更改截止日期并为网络运营商提供更多时间是有意义的。不要离开多达6000万人。
我们确定了这些可能对其成功产生不利影响并可能对许多最终用户的能力产生不利影响的新问题后,进行翻转将是不负责任的。“ICANN总裁Goran Marby说。 “我们宁愿谨慎合理地进行。”
ICANN没有公布新的截止日期,但说转帐将重新安排到2018年第一季度。行政机构将使用该扩展程序与其确定与其合作解决问题的ISP和网络运营商进行联系。
缺少最后期限将对常规互联网用户造成严重后果。 ICANN估计大约7.5亿人使用DNSSEC服务器提供的信息浏览网页。互联网安全先驱Paul Vixie现任首席执行官兼创始人之一,“遭受损失的人将是那些递归名称服务器运营商执行DNSSec验证但未在出版前期间正确接收,存储和配置新密钥的用户”远见安全。
DNSSEC的最终根密钥
域名系统(DNS)作为互联网的电话簿,将IP地址转换为易于记忆的域名。然而,DNS的分布式特性使得系统易于劫持,因为用户通过DNS缓存中毒或DNS欺骗被转移到欺诈性站点。 2010年推出的DNSSEC协议通过使用加密密钥对来验证和验证DNS查找的结果来阻止劫持。如果DNS响应被篡改,则密钥不匹配,并且浏览器返回错误,而不是将用户发送到错误的目的地。
DNSSEC作为一个层次结构,不同的身体负责每个层,并在下面的层中签名实体的密钥。密钥签名密钥是密钥公钥 - 私钥对,根区KSK保护层次结构的最上层,DNSSEC验证的锚点。
DNS解析器依赖于KSK从根区域通过系统的每个层建立的信任链,以验证他们对他们的查询获得良好的结果。给定的IP地址确实解决了该域。
钥匙没有任何错误 - 它没有被盗或被篡改 - 但是定期旋转签名密钥是很好的安全措施,所以即使它落入错误的手中,每个人都已经在使用较新的更强的密钥。例如,在更新到更新,更强的键之前,没有理由等待发生不好的事情 - 关键是被破解。
美国计算机应急小组(US-CERT)在最近的一份咨询文件中写道:“更新DNSSEC KSK是一个重要的安全措施,类似于更新PKI根证书。 “保持最新的根KSK作为信任锚点对于确保DNSSEC验证DNS解析器在翻转后继续运行至关重要。”
翻转过程遇到故障, 远程控制
全球技术社区的ICANN和志愿者在过去五年中花费了过去五年的时间来开发,审查,改进和测试翻转计划,然后在去年通过生成新的KSK开始该过程。 7月份,ICANN发布计划,概述了翻转KSK所需的步骤,以便ISP,企业网络运营商,硬件制造商和执行DNSSEC验证的其他人员可以使用密钥对的公共部分更新其系统。即使新的密钥签名密钥将在十月份开始用于签署域名,DNSSEC将支持旧的和新的密钥,直到2018年初,让大家有时间完成翻转过程。
“运营商可能会在其系统中安装新密钥可能有多个原因:一些可能没有正确配置其解析器软件,并且一个广泛使用的解决程序程序中最近发现的问题似乎不会自动更新密钥,因为它应该由于仍在探索的原因,“ICANN说。
这也可能是一个意识问题 - 足够的运营商不了解部署过程。 Vixie说:“ICANN正在按时开始使用私有部分[签署域名]。
Vixie说,这个多步骤,多年过程中最具挑战性的部分是监督计划的发展,寻求广泛的审查和批准,并获得多个互联网治理组织的批准来执行计划。 CTO的ICANN办事处已经做了很大的努力;技术实施和宣传过程很容易。
许多组织运营有效的名称服务器,包括ISP,企业,大学,小型办公室,甚至爱好用户。大多数这些递归名称服务器可能已经通过其正常的软件更新过程从供应商处获得了带外关键更新,或者计划在接下来的几周内收到一个更新。
ICANN建议网络运营商和ISP确保其系统准备好进行新的翻转数据,并利用其测试平台确保解析器的配置正确。管理员需要手动更新缺少RFC 5011支持(自动更新)的DNSSEC验证器,因为它们不会自动接收,存储和配置新密钥。在此期间,离线的任何DNSSEC验证者在理论上可以在新密钥全部生效后自动更新,但是只有在旧密钥正式退出之前,这些验证器在3月之前在线,才会发生。
在理论上,DNSSEC验证器可能错过所有的更新机会,而不是从其根信任锚接收新的密钥。如果是这种情况,则当旧密钥被撤销时,该验证器将会从2018年3月起从根服务器所收到的所有响应中的DNSSEC验证失败。 Vixie说,这种情况最有可能发生在测试实验室,而不是生产网络。
虽然大多数名称服务器都被自动更新,但每个递归的验证名称服务器操作员都应手动检查,以确保新密钥已经被接收,存储和配置以供验证使用。没有必要等到DNSSEC验证失败才能发现更新不完整。
DNSSEC验证对联邦机构是强制性的,私营部门的采用速度很慢。即使如此,ICANN估计全球有7.5亿人依靠DNSSEC验证,并将受到翻转影响。虽然在理论上可以估计有多少企业准备在截止日期之前,执行DNSSEC验证的面向公众的递归名称服务器的数量非常少,但对于预测全部人口的结果来说,这将是“无用的”,Vixie说, 远程控制。
ICANN决定放慢速度,因为有太多运营商尚未准备好。它将继续评估和重新评估,但在这一点上,由信任链中的所有其他人来做。 “从这个意义上说,我们正在从DNSSEC的相当稀疏和狭隘的采用中获益。”Vixie说,他指出,社区由晚期采用者和详细了解这些问题的人主导。 “过去几年来,只有一个在火星上生活过的早期采用者才会有麻烦。”
Vixie说,他对如何设计和执行翻转实施计划感到非常深刻。按照计划进行翻转的事实使得有可能定期进行这种关键轮换。预计在2022年的下一轮。
“我早点预测,这不可能做得比我所看到的更多的延迟和痛苦,”Vixie说。 “在不久的将来,它将不再具有新闻价值。”
编者注:这个故事更新了,以反映当前的KSK是2,048位RSA密钥,而不是原来报道的1024位RSA密钥。
|
|