輪換Root KSK：更換DNS的信任根

9月16日，ICANN理事會(huì)通過(guò)了一項(xiàng)決議，指示ICANN組織按計(jì)劃繼續(xù)輪換Root KSK，定于2018年10月11日16:00 UTC更換Root KSK。

2018年10月11日，根密鑰簽名密鑰（Root KSK）即將更換――這是歷史上第一次，這是用于驗(yàn)證所有DNSSEC響應(yīng)的單一信任根。還沒有了解并開始使用新密鑰的驗(yàn)證解析系統(tǒng)將把所有響應(yīng)視作無(wú)效，因而導(dǎo)致它們停止回答所有查詢，從而讓用戶無(wú)法正常訪問互聯(lián)網(wǎng)。

你準(zhǔn)備好了嗎？

引言/DNSSEC是什么？

域名系統(tǒng)安全擴(kuò)展（DNSSEC）于1997年推出，首次描述DNSSEC的RFC2065同年發(fā)布。DNSSEC為域名系統(tǒng)（DNS）的使用者使用公鑰加密來(lái)驗(yàn)證響應(yīng)提供了一種方法。在1997年到2010年7月1日，DNSSEC被一些DNS授權(quán)運(yùn)營(yíng)商所使用。然而，當(dāng)時(shí)沒有一個(gè)信任錨（trust anchor），這是可用來(lái)驗(yàn)證響應(yīng)的權(quán)威實(shí)體。2010年7月1日，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（ICANN）、Verisign以及國(guó)家電信和信息管理局（NTIA）完成了對(duì)DNS根區(qū)域進(jìn)行簽名的過(guò)程。這樣一來(lái)，單個(gè)信任根就可以用來(lái)驗(yàn)證所有DNSSEC響應(yīng)，假設(shè)DNS鏈上的每個(gè)區(qū)域都已簽名。

自2010年7月以來(lái)，DNSSEC信任根（又叫根密鑰簽名密鑰，Root KSK）沒有變過(guò)。 DNSSEC驗(yàn)證中其他地方使用的許多密鑰已經(jīng)輪換――類似網(wǎng)站的TLS證書，這對(duì)于任何公鑰系統(tǒng)來(lái)說(shuō)很常見。在引入目前使用的密鑰KSK-2010的前后，負(fù)責(zé)維護(hù)DNS根區(qū)域的組織：互聯(lián)網(wǎng)號(hào)碼分配機(jī)構(gòu)（IANA）編制了《根區(qū)域KSK運(yùn)營(yíng)商DNSSEC實(shí)踐聲明》文檔。該文檔概述了根區(qū)域的DNSSEC操作，呼吁5年后輪換Root KSK。與之相仿，在2013年，ICANN的安全性和穩(wěn)定性咨詢委員會(huì)發(fā)布了一份公告，呼吁輪換Root KSK。輪換Root KSK的過(guò)程應(yīng)該在2015年開始，但直到2016年10月才開始。促使KSK-2017創(chuàng)建的Root KSK生成過(guò)程開啟了Root KSK的輪換，原計(jì)劃在2017年10月完成。

有一種自動(dòng)方法可以驗(yàn)證解析系統(tǒng)以了解和安裝新的Root KSK（RFC5011）。然而，驗(yàn)證解析系統(tǒng)不僅需要支持更新方法，還需要能夠觀察密鑰至少30天，并將該密鑰存儲(chǔ)在永久存儲(chǔ)設(shè)備中。在某些情況下，解析系統(tǒng)無(wú)法寫入到永久存儲(chǔ)設(shè)備，也無(wú)法保留新密鑰。如上所述，不使用新密鑰的驗(yàn)證遞歸解析系統(tǒng)將停止回答查詢，從而讓用戶無(wú)法正常訪問互聯(lián)網(wǎng)。由于無(wú)法可靠地衡量有多少解析系統(tǒng)沒有安裝新密鑰，因此ICANN理事會(huì)作出了決定：推遲部署，以便做好更多的研究和通知工作。延期一年；現(xiàn)在我們離2018年10月11日這個(gè)重大日子越來(lái)越近了。

諸有關(guān)方已認(rèn)真考慮了輪換Root KSK的計(jì)劃，包括ICANN下面的首席技術(shù)官辦公室以及安全性和穩(wěn)定性咨詢委員會(huì)（通過(guò)ICANN托管的KSK Roll郵件列表）。意見不一，有的強(qiáng)烈支持今年輪換密鑰，有的強(qiáng)烈反對(duì)。爭(zhēng)論雙方都發(fā)現(xiàn)需要更多的數(shù)據(jù)、外聯(lián)和方法，幫助減小對(duì)最終用戶造成的影響。 ICANN理事會(huì)正在考慮他們?cè)谙乱淮卫硎聲?huì)會(huì)議（到時(shí)做出要不要搞的決定）之前征集的意見，會(huì)在下周的某個(gè)時(shí)間告知社區(qū)。決定公布后，我們會(huì)更新此文。

會(huì)發(fā)生什么？

如果Root KSK輪換按計(jì)劃進(jìn)行，信任錨Root KSK將從2018年10月11日開始由KSK-2010換成KSK-2017。這將導(dǎo)致響應(yīng)由根DNS域名服務(wù)器來(lái)處理，返回現(xiàn)在與新的Root KSK聯(lián)系起來(lái)的響應(yīng)。由于根域名服務(wù)器的響應(yīng)中設(shè)置了48小時(shí)的生存時(shí)間（TTL），因此一些最終用戶可能會(huì)在10月11日到10月13日的某個(gè)時(shí)間段受到影響。受影響的時(shí)間主要取決于解析系統(tǒng)上的緩存到期失效的速度多快。受影響的最終用戶可能一開始會(huì)遇到主機(jī)未找到錯(cuò)誤或表明DNS解析無(wú)法正常工作的其他征兆；隨著更多緩存條目到期失效，故障似乎會(huì)擴(kuò)散到其他域。對(duì)于遇到故障的用戶來(lái)說(shuō)，使用ping之類的工具、找到IP地址而不是域名有助于排除常規(guī)的連接問題。對(duì)于管理員來(lái)說(shuō)，訪問資源時(shí)使用IP地址可以用作某些應(yīng)用的權(quán)宜之計(jì)，直到解析故障被解決。

ICANN的首席技術(shù)官辦公室及其他機(jī)構(gòu)估計(jì)，由于此次輪換，Root KSK輪換將給互聯(lián)用戶帶來(lái)不到1%的拒絕服務(wù)（DoS）。這些報(bào)告承認(rèn)，由于根本上無(wú)法衡量DNS的某些方面，存在一定程度的不確定性。過(guò)去兩年已作出了努力以改進(jìn)衡量，但新數(shù)據(jù)不如我們預(yù)期的那樣具有結(jié)論性。

我如何準(zhǔn)備Root KSK輪換？

如果你是最終用戶，就得依賴DNS服務(wù)提供商（通常是你的ISP），或公共開放解析系統(tǒng)服務(wù)，比如Google DNS（8.8.8.8）、Open DNS（208.67.222.222和208.67.220.220）或Quad 9（9.9.9.9），以便正確處理密鑰輪換。如果用戶使用Akamai的ETP、AnswerX托管平臺(tái)以及最新版本的AnswerX（v2017.1或更高版本）或啟用DNSSEC驗(yàn)證功能的Nominum產(chǎn)品，會(huì)發(fā)現(xiàn)新的Root KSK信任錨已配置好，輪換發(fā)生時(shí)，解析應(yīng)該會(huì)繼續(xù)順利進(jìn)行。

想測(cè)試自己會(huì)不會(huì)受Root KSK輪換的影響，第一步可以嘗試訪問http://dnssec-failed.org。如果你能夠解析并加載網(wǎng)頁(yè)，表明你用于測(cè)試的那臺(tái)計(jì)算機(jī)未配置驗(yàn)證解析系統(tǒng)，Root KSK輪換應(yīng)該對(duì)該系統(tǒng)沒有影響。請(qǐng)注意，這僅驗(yàn)證訪問URL的設(shè)備是不是在使用DNSSEC驗(yàn)證，物聯(lián)網(wǎng)設(shè)備等其他設(shè)備可能使用不同的遞歸解析系統(tǒng)，沒有簡(jiǎn)單的方法來(lái)測(cè)試。

對(duì)于使用驗(yàn)證的解析系統(tǒng)的用戶來(lái)說(shuō)，有一個(gè)IETF草案，通常名為KSK Sentinel，它定義了一組特別設(shè)計(jì)的查詢，最終用戶可以用這些查詢來(lái)檢查解析系統(tǒng)是否為Root KSK輪換做好了準(zhǔn)備。已設(shè)立了網(wǎng)站https://www.ksk-test.net，幫助最終用戶測(cè)試解析系統(tǒng)是否驗(yàn)證DNSSEC、是否支持KSK Sentinel，以及是否已配置好了新的信任錨。KSK Sentinel比較新，僅部署到了少數(shù)遞歸解析系統(tǒng)。使用這個(gè)方法好不好，就看運(yùn)氣了，但到目前為止，除了聯(lián)系你的遞歸解析系統(tǒng)運(yùn)營(yíng)商外，它是唯一可用來(lái)測(cè)試遞歸解析系統(tǒng)是否為Root KSK輪換做好準(zhǔn)備的方法了。

如果你是遞歸解析系統(tǒng)運(yùn)營(yíng)商，ICANN提供的網(wǎng)頁(yè)可幫助你逐步檢查及/或更新大量解析系統(tǒng)平臺(tái)上的信任錨。運(yùn)營(yíng)商可能還應(yīng)該考慮檢查自己的平臺(tái)是否支持RFC5011，這種協(xié)議可自動(dòng)更新和配置新的信任貓。如果這次Root KSK輪換按計(jì)劃進(jìn)行，RFC5011更新將無(wú)濟(jì)于事，因?yàn)樵搮f(xié)議需要30天才能完成，因此2018年9月10日是可以啟用該功能的最后一天。

此外，網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)檢查電子郵件，看看有沒有主題行是“關(guān)于ASXXXXX中未準(zhǔn)備好的DNSSSEC驗(yàn)證解析系統(tǒng)的重要DNS信息”的郵件，其中XXXXX換成你的自治系統(tǒng)（AS）編號(hào)。這類電子郵件讓運(yùn)營(yíng)商對(duì)于出現(xiàn)在根域名服務(wù)器的日志中的解析系統(tǒng)有一番了解，這些服務(wù)器對(duì)于是否支持新的Root KSK并不確定。一些根域名服務(wù)器處理的請(qǐng)求常常與可能沒有為Root KSK輪換做好準(zhǔn)備的驗(yàn)證解析系統(tǒng)關(guān)聯(lián)起來(lái)，這些服務(wù)器已看到出現(xiàn)在這些報(bào)告中的IP地址。收到這些報(bào)告的管理員應(yīng)利用ICANN提供的程序來(lái)檢查及/或更新解析系統(tǒng)。由于客戶端可能通過(guò)非驗(yàn)證遞歸解析系統(tǒng)發(fā)出同樣的查詢，因此可能會(huì)出現(xiàn)誤報(bào)。

面對(duì)Root KSK輪換，權(quán)威域名服務(wù)器的運(yùn)營(yíng)商受客戶端使用的遞歸解析系統(tǒng)的支配，這意味著無(wú)法通過(guò)修改權(quán)威服務(wù)來(lái)糾正解析故障。