網際網路獲得大規模的安全升級時會發生什麼?
無論人們是否準備好,可能很快就會啟動升級網際網路這個重要的安全操作,當然,也可能不進行升級。
全球網際網路名稱與數字地址分配機構(ICANN)將於9月17日舉行會議,並將決定是否繼續推進其多年規劃的專案,以升級域名中使用的頂級加密金鑰對。DNS安全擴充套件協議(DNSSEC),通常稱為根區域金鑰簽名金鑰(root KSK),用於保護全球網際網路的基礎伺服器。
ICANN表示,改變這些金鑰並使其更加強大是一個重要的安全措施,就像任何一位網際網路使用者認為定期更改密碼被認為是一種實用性習慣一樣。此更新將有助於防止某些惡意活動,例如攻擊者控制會話,並將使用者引導到例如可能竊取其個人資訊的網站。
Root KSK的輪轉應該發生在一年前,但由於擔心它可能會破壞與大量網路使用者的網際網路連線,因此推遲到今年10月11日。
據ICANN稱,金鑰簽名金鑰(KSK)意味著生成一個新的加密公鑰和私鑰對,並將新的公共元件分發給執行驗證解析器的各方。此類解析器執行的軟體可將網站名稱轉換為數字IP地址。
ICANN表示,全球網際網路服務提供商、企業網路管理員以及其他域名系統(DNS)解析器運營商、DNS解析器軟體開發人員、系統整合商、安裝或傳送根伺服器使用者的“信任錨”的硬體和軟體分銷商也提供這種服務。
ICANN表示,它預計來自根區域金鑰簽名金鑰(root KSK)的使用者影響最小,但只有一小部分網際網路使用者可能面臨將域名解析為IP地址的問題,這意味著到達他們的線上目的地的問題。
這個問題並不普遍,但仍令人擔憂。“目前有少量的域名系統安全擴充套件(DNSSEC)驗證錯誤配置了遞迴解析器,並且一些依賴這些解析器的使用者可能會遇到問題。” ICANN在最近的一個文章中寫道。遞迴解析器接收DNS解析請求,並找到可以實現它們的DNS伺服器。
Verisign最近寫道,今年早些時候當遞迴伺服器的運營商只報告舊的信任錨時,就開始通知這些公司。但是在許多情況下,無法確定責任方,這在很大程度上是由於網際網路服務提供商(ISP)使用者的動態定址。
此外,去年年底,ICANN開始接收來自更多根伺服器運營商的信任錨信令資料,以及來自更多遞迴名稱伺服器的資料,因為遞迴名稱伺服器已更新為提供這些訊號的軟體版本。
Verisign寫道,截至目前,這一比例相對穩定,大約7%的人仍然表示仍採用的是2010年的信任錨。
那麼,企業和其他人應該從輪轉中得到什麼樣的期望呢?首先,ICANN表示依賴具有新KSK的解析程式的使用者和依賴不執行DNSSEC驗證的解析程式的使用者將不會受到任何影響。
ICANN表示,資料分析顯示,超過99%的解析器正在驗證的使用者將不會受到KSK輪轉的影響。
對於企業來說,他們應該已經更新了軟體以進行自動金鑰輪轉(有時稱為“RFC 5011” 輪轉)或者現在手動安裝新金鑰。ICANN首席技術專家Paul Hoffman說,如果他們沒有開啟自動更新,他們必須在9月10日之前開啟,否則更新機制不會及時正確地進行輪轉。
Hoffman說:“請注意,無論是否在10月11日獲得批准,都應該進行更新。新金鑰已經是根區域中公佈的可信金鑰集的一部分,因此它應該成為每個人的信任錨。”
ICANN最近的一篇論文在根區域KSK輪轉過程中期待的內容闡述了一些具體問題:
•如果所有使用者的解析程式在其信任錨配置中沒有新的KSK,則使用者將在輪轉後48小時內的某個時間點開始看到域名解析失敗(通常是“伺服器故障”或SERVFAIL錯誤)。無法預測受影響的解析器的操作人員何時會注意到驗證失敗。
發生此故障時,如果使用者配置了多個解析器(大多數使用者都這樣做),他們的系統軟體將嘗試使用者配置的其他解析器。這可能會降低DNS解析速度,因為他們的系統會在切換到準備好的解析程式之前繼續嘗試未準備好的解析程式,但使用者仍然會獲得DNS解析,甚至可能不會注意到速度減慢。
•如果所有使用者的解析器都沒有為輪轉做好準備(例如,如果它們都由一個組織管理,並且該組織尚未準備好任何解析器),則使用者將在48小時後的某個時間內開始看到故障。
•使用者將看到不同的故障症狀,具體取決於它們執行的程式以及該程式對DNS查詢失敗的反應。在瀏覽器中,網頁可能變得不可用(或者網頁上的影像可能無法顯示)。在電子郵件程式中,使用者可能無法獲取新郵件,或者部分郵件正文可能顯示錯誤。故障將會級聯,直到沒有程式能夠顯示來自全球網際網路的新資訊。
•一旦操作人員發現他們的解析器的DNSSEC驗證失敗,他們應該更改其解析器配置以暫時禁用DNSSEC驗證。這應該導致問題立即停止。
•之後,運營商應儘快安裝KSK-2017作為信任錨,並再次啟用DNSSEC驗證。ICANN組織提供了更新通用解析器軟體的信任錨的說明。
“這種金鑰輪轉不是新技術。事實上,當2010年第一個KSK被新增到根區域時,我們知道它必須在某個時刻發生變化。”Hoffman說。“透過在未來需要時為其他輪轉鋪平道路,進行輪轉將有助於提高DNS的穩健性。”
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2214145/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網際網路安全大會提出“大安全”概念
- 訪問網際網路時發生了什麼?
- 世界網際網路大會|網路安全點亮烏鎮“網際網路之光”
- 華為雲安全亮相世界網際網路大會
- 網路安全發展前景如何?為什麼網路安全崗位的需求這麼大?
- Cloudflare如何使用Quicksilver實現網際網路規模級別的配置分發? - Geoffrey PlouviezCloudUI
- 亞洲誠信助力2018 ISC網際網路安全大會,共築網路安全
- 千萬級規模【高效能、高併發】網際網路架構經驗分享~架構
- 第三屆世界網際網路大會開幕網際網路世界“烏鎮時間”進行時
- 薈萃:世界網際網路大會上,大佬們針對“安全”發的那些言
- 網路安全的發展方向是什麼?網路安全基礎入門
- 網際網路的盡頭是什麼?
- 網際網路安全與區塊鏈有什麼關聯區塊鏈
- 從《網路生態治理規定》看網際網路新技術的治理
- 中國網際網路協會:2020中國網際網路發展
- 網路安全的優點是什麼?網路安全都學什麼知識
- “網際網路+教育”時代亞信安全助力江漢大學“安全”雲化
- “網際網路+政務”是什麼?
- 網路安全中等級保護定級流程是什麼?
- 【工業網際網路】首家國家級工業網際網路平臺誕生 海爾COSMOPlat獲批首家示範平臺
- 什麼是網路安全?
- IT/網際網路為何會成為大學生求職的第一選擇?求職
- 網際網路絡安全、資訊保安、計算機網路安全、資訊保障有什麼區別?計算機網路
- 【網路安全】什麼是暗網?暗網的特點是什麼
- 網際網路公司需要什麼樣的計算機專業應屆生?計算機
- 工業網際網路企業網路安全分類分級工作啟動會在中新賽克工業網際網路安全技術創新中心召開
- 【工業網際網路】工業網際網路+先進製造業助力產業轉型升級產業
- 第七屆網際網路安全大會(ISC 2019)面向全球徵集議題
- 一個生物專業學生的內心獨白:我為什麼能去網際網路大廠?
- 高安全等級網路是什麼意思?有什麼特點?
- 重提公平,對網際網路意味什麼?
- 什麼是行為網際網路(IoB)?
- 網際網路賺錢的邏輯是什麼?
- 2021GIDC全球網際網路資料大會 摩杜雲榮獲“最佳安全資料解決方案”
- 共建數字生態,天空衛士承辦天津網際網路協會網路與數專委成立大會
- 面試一線網際網路大廠?那這道題目你必須得會!面試
- 大資料在網際網路時代的意義!大資料
- 淺談大型網際網路的安全