ICANN宣布已完成DNS签名轮转 只有极少数用户被影响

互联网名称与数字地址分配机构此前已经发布过预告将在日前对根区密钥签名密钥进行更换也就是轮转操作。

轮转的出发点主要是考虑不少DNS存在安全性问题，这次轮转过后DNS根区已经换上新的密钥签名密钥KSK。

部分国内外标题党媒体声称轮转期间会出现互联网大断网，因为轮转期间所有DNS服务器可面临短暂的失效。

但ICANN在此前已经测试无数次怎么可能发生大断网呢，比如现在轮转已经完成也几乎没有用户报告出问题。

根区KSK轮转定义：

早在2010年ICANN就开始使用DNSSEC对根区进行签名，DNSSEC 可确保服务器记录的数据没有经过篡改。

DNS根区的签名包括如下两种：签署根区主数据的域签名密钥ZSK和签署根区的根区密钥集进行签名的KSK。

ZSK通常每隔三个月就会更新确保数据安全，每个新的ZSK 均通过长期有效的KSK进行签名确保ZSK的有效。

当密钥签名密钥即KSK需要进行更改时即发生轮转，轮转期间原KSK将被停用新的KSK重新对ZSK 进行签名。

为什么要进行KSK轮转：

进行KSK轮转的目的在于确保全球DNS系统安全运行，不支持 DNSSEC 加密的DNS解析服务器将无法运行。

在进行轮转后超过99%的DNS服务器都可获得新KSK密钥签名，因此支持 DNSSEC 的解析器几乎没有影响。

在本次KSK 轮转过后那些尚未支持 DNSSEC 加密的服务器由于无法获得新密钥因此可能出现无法正常解析。