近日,互聯網名稱與數字地址分配機構 (Internet Corporation for Assigned Names and Numbers, ICANN) 首席技術官 (Chief Technology Officer, CTO) 戴維 康納德 (David Conrad) 在京采訪時表示,ICANN將首次更換維護互聯網域名系統 (Domain Name System, DNS) 根區的密鑰加密密鑰(KSK),并制定了一套流程在世界協調時以前手動更換至新的密鑰。
首席技術官康納德此次北京之行的目的是與當地利益相關方和技術社群展開交流,分享ICANN在域名生態系統中所履行的技術職責,更好地理解中國在互聯網技術方面取得的最新進展,并探討與中國互聯網社群在技術領域的合作。他廣泛拜訪了主管部門、域名產業界,大學及學術研究機構及領先的互聯網公司。
戴維 康納德表示:“全球的互聯網服務提供商和網絡運營商均應確保做好密鑰更換準備。否則,他們的用戶將無法查詢域名,無法登錄任何一個互聯網網站。”他還指出:“網絡運營商應當確保他們擁有最新軟件、已經部署了域名系統安全擴展 (DNSSEC)、并已經驗證了其系統能夠自動更換密鑰,或已經制定了一套流程在世界協調時(UTC) 2017 年 10 月 11 日 16:00 時以前手動更換至新的密鑰。”
據悉,密鑰的更換,又稱“輪轉”(rollover),是維護全球 DNS 安全與穩定的重要環節。這與人們普遍接受的運營操作十分類似,即確保重要的安全基礎設施能夠在必要時支持密碼更替一樣。
對于本次更換加密鑰背景時,ICANN亞太運營中心總經理羅嘉榮表示,近年來互聯網出現了很多大范圍網絡安全事件,為了提升域名系統 (DNS) 安全性和保護 DNS服務器不受分布式拒絕服務 (distributed denial of service, DDOS) 的襲擊,因此推廣部署更為安全的DNSSEC協議。
DNSSEC是DNS安全性擴展的縮寫,DNSSEC通過將公鑰密碼系統引入DNS層次結構,從而為域名生成一個開放的全球公鑰基礎設施(PKI),以此提高DNS的安全性。DNSSEC的優勢在于通過數字簽名,可以防止暗中篡改,保障域名查詢安全,從而抵御可能攻擊。例如,將最終用戶重定向到冒名的網站或惡意網站以收集密碼,所有的實體用戶都會受影響,這通常稱為緩存感染病毒,可以防止緩存感染病毒是DNSSEC主要優勢之一。
康納德指出:“我們已經啟動了一個測試平臺,確保網絡運營商能夠確定他們已經在 10 月 11 日前對密鑰輪轉做好了充分準備。”
中國信通院互聯網治理研究中心執行主任、互聯網領域主席劉越向記者表示,近年來中國市場的新通用頂級域的域名注冊量增速很快,約占到全球新通用頂級域市場的50%。目前,中國在新通用頂級域領域一枝獨秀,域名注冊總量及新域名的注冊量排在全球第二位,但域名的應用水平還比較低,重要域名的系統安全也存在巨大隱患。
根據《2015年域名產業發展報告》提供的資料,“涉及國計民生的60%以上域名存在安全問題,需要引起高度重視”。劉越表示,在戴維 康拉德訪問北京期間,中國信通院與ICANN就DNS安全性和穩定性等議題進行了交流,雙方作為彼此的合作伙伴將繼續在這一領域開展合作。
另據了解,ICANN總裁兼首席執行官馬躍然 (G ran Marby) 也已向超過 170 位政府官員(包括 ICANN 政府咨詢委員會 (Government Advisory Committee) 中的監管人員和參與人)致函,請求他們要求位于各自國家內的網絡運營商了解密鑰更替事宜并做好準備。
京公網安備 11010502049343號