担心6000万人掉线 ICANN暂停密钥签名密钥轮转

作者:星期六, 九月 30, 20170
分享:

一项持续多年的互联网整体安全更新工作,就在即将引入前几天被叫停,原因是惧怕可能会有6000万人无法上网。

互联网名称与数字地址分配监管机构ICANN,在9月28日宣布暂停推出用于保护互联网基础服务器的新根区“密钥签名密钥”(KSK)。因为其收到的消息显示,该KSK部署可能导致的问题比预期更多。

KSK起到锚定全球互联网的作用:建立起从根区到整个域名系统的信任链,让DNS解析器(将域名转换为相应IP地址的软件)可以验证自己查询所得结果是真实有效的。

互联网工程师都懂的,引入更长更安全的公-私钥对,可能导致某些配置不佳的老旧系统出错。因此,采取了可追溯到2016年5月的一条缓慢推出路线。

最近几周,ICANN代表们一直忙于参加各种会议,通告ISP和其他互联网基础设施公司这一安全基础的改变,并设置了一个在线测试供人们检查自己的系统是否适用。KSK的推出原定于10月11日,而就在上周,ICANN还很确信即便有问题也只是小问题。

然而,网络运营商Verisign通过DNS协议RFC 8145提交的数据分析,揭示出该信息高速公路上的一大路障,ICANN随后也证实了该消息。

切实的担心

超过半数的互联网关键根服务器报告称,互联网上的大量验证器(5%-8%)系统仅有2010版的KSK密钥,而不是2010和2017版密钥都含有。此数据仅来源于运行有最新版本DNS软件BIND的机器,所以,实际问题范围可能还要更大些。

这意味着什么呢?当互联网“滚动”到2017版本,没有该版密钥的验证器将不能正确解析域名,依赖这些系统的人就会发现:自己被踢下线了,连接不上网站和其他在线服务。

会影响到多少人呢?ICANN估测,KSK轮转会影响到1/4的互联网用户——约7.5亿人。考虑到8%失败率的高端数据报告,也就是不少于6000万人会在一夜之间与互联网无缘。

毫不令人意外地,ICANN判断新KSK密钥推出时机尚不成熟,决定将密钥轮转推迟到最早明年第一季度。ICANN首席执行官格兰·马尔比在声明中说:“域名系统的安全性、稳定性和弹性,是我们的核心任务。”

我们宁愿谨慎而合理地进行,也不会继续原定10月11日的推出计划。在发现这些可能阻碍其成功,并影响到大量终端用户的新问题之后,再继续推进原计划,是不负责任的。

ICANN打算如何解决此问题呢?该组织打算公布仅拥有2010版KSK密钥的解析器完整列表,然后请互联网社区帮忙确定其位置,并找出问题所在和更新办法。

系统可能没准备好接受新KSK密钥的一些原因如下:

  • 代码自身被写入了带2010密钥的老旧配置。
  • 没实现可以自动更新密钥的 RFC 5011 协议。
  • 软件缺陷或冲突阻碍了密钥自动轮转,或妨碍了轮转确实发生时自动接受此一改变。

无论原因为何,都反映出全网范围上的更新有多么困难。不信请参见IPv6。

 

关键词:
分享:

相关文章

写一条评论

 

 

0条评论