網際網路獲得大規模的安全升級時會發生什麼？

無論人們是否準備好，可能很快就會啟動升級網際網路這個重要的安全操作，當然，也可能不進行升級。

全球網際網路名稱與數字地址分配機構（ICANN）將於9月17日舉行會議，並將決定是否繼續推進其多年規劃的專案，以升級域名中使用的頂級加密金鑰對。DNS安全擴充套件協議(DNSSEC)，通常稱為根區域金鑰簽名金鑰（root KSK），用於保護全球網際網路的基礎伺服器。

ICANN表示，改變這些金鑰並使其更加強大是一個重要的安全措施，就像任何一位網際網路使用者認為定期更改密碼被認為是一種實用性習慣一樣。此更新將有助於防止某些惡意活動，例如攻擊者控制會話，並將使用者引導到例如可能竊取其個人資訊的網站。

Root KSK的輪轉應該發生在一年前，但由於擔心它可能會破壞與大量網路使用者的網際網路連線，因此推遲到今年10月11日。

據ICANN稱，金鑰簽名金鑰(KSK)意味著生成一個新的加密公鑰和私鑰對，並將新的公共元件分發給執行驗證解析器的各方。此類解析器執行的軟體可將網站名稱轉換為數字IP地址。

ICANN表示，全球網際網路服務提供商、企業網路管理員以及其他域名系統（DNS）解析器運營商、DNS解析器軟體開發人員、系統整合商、安裝或傳送根伺服器使用者的“信任錨”的硬體和軟體分銷商也提供這種服務。

ICANN表示，它預計來自根區域金鑰簽名金鑰（root KSK）的使用者影響最小，但只有一小部分網際網路使用者可能面臨將域名解析為IP地址的問題，這意味著到達他們的線上目的地的問題。

這個問題並不普遍，但仍令人擔憂。“目前有少量的域名系統安全擴充套件（DNSSEC）驗證錯誤配置了遞迴解析器，並且一些依賴這些解析器的使用者可能會遇到問題。” ICANN在最近的一個文章中寫道。遞迴解析器接收DNS解析請求，並找到可以實現它們的DNS伺服器。

Verisign最近寫道，今年早些時候當遞迴伺服器的運營商只報告舊的信任錨時，就開始通知這些公司。但是在許多情況下，無法確定責任方，這在很大程度上是由於網際網路服務提供商（ISP）使用者的動態定址。

此外，去年年底，ICANN開始接收來自更多根伺服器運營商的信任錨信令資料，以及來自更多遞迴名稱伺服器的資料，因為遞迴名稱伺服器已更新為提供這些訊號的軟體版本。

Verisign寫道，截至目前，這一比例相對穩定，大約7％的人仍然表示仍採用的是2010年的信任錨。

那麼，企業和其他人應該從輪轉中得到什麼樣的期望呢？首先，ICANN表示依賴具有新KSK的解析程式的使用者和依賴不執行DNSSEC驗證的解析程式的使用者將不會受到任何影響。

ICANN表示，資料分析顯示，超過99％的解析器正在驗證的使用者將不會受到KSK輪轉的影響。

對於企業來說，他們應該已經更新了軟體以進行自動金鑰輪轉（有時稱為“RFC 5011” 輪轉）或者現在手動安裝新金鑰。ICANN首席技術專家Paul Hoffman說，如果他們沒有開啟自動更新，他們必須在9月10日之前開啟，否則更新機制不會及時正確地進行輪轉。

Hoffman說：“請注意，無論是否在10月11日獲得批准，都應該進行更新。新金鑰已經是根區域中公佈的可信金鑰集的一部分，因此它應該成為每個人的信任錨。”

ICANN最近的一篇論文在根區域KSK輪轉過程中期待的內容闡述了一些具體問題：

•如果所有使用者的解析程式在其信任錨配置中沒有新的KSK，則使用者將在輪轉後48小時內的某個時間點開始看到域名解析失敗（通常是“伺服器故障”或SERVFAIL錯誤）。無法預測受影響的解析器的操作人員何時會注意到驗證失敗。

發生此故障時，如果使用者配置了多個解析器（大多數使用者都這樣做），他們的系統軟體將嘗試使用者配置的其他解析器。這可能會降低DNS解析速度，因為他們的系統會在切換到準備好的解析程式之前繼續嘗試未準備好的解析程式，但使用者仍然會獲得DNS解析，甚至可能不會注意到速度減慢。

•如果所有使用者的解析器都沒有為輪轉做好準備（例如，如果它們都由一個組織管理，並且該組織尚未準備好任何解析器），則使用者將在48小時後的某個時間內開始看到故障。

•使用者將看到不同的故障症狀，具體取決於它們執行的程式以及該程式對DNS查詢失敗的反應。在瀏覽器中，網頁可能變得不可用（或者網頁上的影像可能無法顯示）。在電子郵件程式中，使用者可能無法獲取新郵件，或者部分郵件正文可能顯示錯誤。故障將會級聯，直到沒有程式能夠顯示來自全球網際網路的新資訊。

•一旦操作人員發現他們的解析器的DNSSEC驗證失敗，他們應該更改其解析器配置以暫時禁用DNSSEC驗證。這應該導致問題立即停止。

•之後，運營商應儘快安裝KSK-2017作為信任錨，並再次啟用DNSSEC驗證。ICANN組織提供了更新通用解析器軟體的信任錨的說明。

“這種金鑰輪轉不是新技術。事實上，當2010年第一個KSK被新增到根區域時，我們知道它必須在某個時刻發生變化。”Hoffman說。“透過在未來需要時為其他輪轉鋪平道路，進行輪轉將有助於提高DNS的穩健性。”