一项持续多年的互联网整体安全更新工作，就在即将引入前几天被叫停，原因是惧怕可能会有6000万人无法上网。

互联网名称与数字地址分配监管机构ICANN，在9月28日宣布暂停推出用于保护互联网基础服务器的新根区“密钥签名密钥”(KSK)。因为其收到的消息显示，该KSK部署可能导致的问题比预期更多。

KSK起到锚定全球互联网的作用：建立起从根区到整个域名系统的信任链，让DNS解析器（将域名转换为相应IP地址的软件）可以验证自己查询所得结果是真实有效的。

互联网工程师都懂的，引入更长更安全的公-私钥对，可能导致某些配置不佳的老旧系统出错。因此，采取了可追溯到2016年5月的一条缓慢推出路线。

最近几周，ICANN代表们一直忙于参加各种会议，通告ISP和其他互联网基础设施公司这一安全基础的改变，并设置了一个在线测试供人们检查自己的系统是否适用。KSK的推出原定于10月11日，而就在上周，ICANN还很确信即便有问题也只是小问题。

然而，网络运营商Verisign通过DNS协议RFC 8145提交的数据分析，揭示出该信息高速公路上的一大路障，ICANN随后也证实了该消息。

切实的担心

超过半数的互联网关键根服务器报告称，互联网上的大量验证器(5%-8%)系统仅有2010版的KSK密钥，而不是2010和2017版密钥都含有。此数据仅来源于运行有最新版本DNS软件BIND的机器，所以，实际问题范围可能还要更大些。

这意味着什么呢？当互联网“滚动”到2017版本，没有该版密钥的验证器将不能正确解析域名，依赖这些系统的人就会发现：自己被踢下线了，连接不上网站和其他在线服务。

会影响到多少人呢？ICANN估测，KSK轮转会影响到1/4的互联网用户——约7.5亿人。考虑到8%失败率的高端数据报告，也就是不少于6000万人会在一夜之间与互联网无缘。

毫不令人意外地，ICANN判断新KSK密钥推出时机尚不成熟，决定将密钥轮转推迟到最早明年第一季度。ICANN首席执行官格兰·马尔比在声明中说：“域名系统的安全性、稳定性和弹性，是我们的核心任务。”

我们宁愿谨慎而合理地进行，也不会继续原定10月11日的推出计划。在发现这些可能阻碍其成功，并影响到大量终端用户的新问题之后，再继续推进原计划，是不负责任的。

ICANN打算如何解决此问题呢？该组织打算公布仅拥有2010版KSK密钥的解析器完整列表，然后请互联网社区帮忙确定其位置，并找出问题所在和更新办法。

系统可能没准备好接受新KSK密钥的一些原因如下：

• 代码自身被写入了带2010密钥的老旧配置。
• 没实现可以自动更新密钥的 RFC 5011 协议。
• 软件缺陷或冲突阻碍了密钥自动轮转，或妨碍了轮转确实发生时自动接受此一改变。

无论原因为何，都反映出全网范围上的更新有多么困难。不信请参见IPv6。