根区 KSK 轮转 中文

根区 KSK 轮转　中文
【外部リンク】
https://www.icann.org/resources/pages/ksk-rollover-2016-07-28-zh
根区 KSK 轮转

本页面还提供其他语种：EnglishالعربيةEspañolFrançais日本語한국어PortuguêsPусский中文
Root Zone KSK Rollover
概述
资源
积极参与
背景
拟定时间表
运营计划

新闻
2016 年 10 月 27 日 — KSK 轮转工作启动

2016 年 7 月 22 日 — DNSSEC：轮转根区密钥签名密钥

2016 年 6 月 21 日 — 安全最佳实践：DNSSEC 验证

2016 年 5 月 9 日 — 更改域名系统 (DNS) 根区密钥

概述
按照根区 KSK 运营商 DNSSEC 规范声明[TXT, 99 KB] 的要求，ICANN 正计划实施根区域名系统安全扩展 (DNSSEC) 密钥签名密钥 (KSK) 轮转。

轮转 KSK 意味着会生成一对新的加密公钥和私钥，并且会向运营验证解析器的各方分发公共组件，包括：互联网服务提供商；企业网络管理员和其他域名系统解析器 (DNS) 运营商；DNS 解析器软件开发商；系统集成商；以及安装或安置根区"信任锚"的硬件和软件经销商。KSK 用于对根区签名密钥 (ZSK) 以密码方式进行签名，而根区签名密钥由根区维护人用于对互联网 DNS 的根区进行 DNSSEC 签名。

保持更新 KSK 是确保经 DNSSEC 签名的域名在开始轮转后能够继续验证的必要条件。 未获得当前根区 KSK 意味着支持 DNSSEC 的验证者将无法确认 DNS 响应未被篡改，因此其将向所有经 DNSSEC 签名的查询返回错误响应。

KSK 轮转计划由根区管理合作伙伴（ICANN 担任 IANA 职能运营商，Verisign 担任根区维护人，美国商务部下属的国家电信和信息管理局 (NTIA) 担任根区管理人）制定。KSK 轮转计划将纳入社群根区 KSK 轮转设计团队的建议 [PDF, 1.01 MB]，并对这些建议进行调整以满足运营要求和约束条件。现在既已共同制定出轮转计划，未来 KSK 轮转将由 ICANN 按照这些计划进行。

资源
如需了解相关信息和其他资源，请访问：

快速指南： 准备系统以进行根区 KSK 轮转 [PDF, 166 KB]
KSK 轮转概览 [PDF, 255 KB]
KSK 轮转：常见问题与解答 [PDF, 212 KB]
DNSSEC 根区 KSK 建议： https://www.iana.org/reports/2016/root-ksk-rollover-design-20160307.pdf [PDF, 1.01 MB]
DNSSEC: https://www.icann.org/resources/pages/dnssec-2012-02-25-en
人人都学 DNSSEC — 初学者指南 (ICANN55)： https://meetings.icann.org/en/marrakech55/schedule/sun-dnssec-everybody
DNSSEC 工作坊 (ICANN55)： https://meetings.icann.org/en/marrakech55/schedule/wed-dnssec
IANA — 根区管理：https://www.iana.org/domains/root
SSAC 关于根区中 DNSSEC 密钥轮转的咨询报告：https://www.icann.org/en/system/files/files/sac-063-en.pdf [PDF, 480 KB]
积极参与
提问
将您的疑问以电子邮件发送至 globalsupport@icann.org，并在主题栏中标示"KSK 轮转"字样。

参加活动
查看活动日程表,了解即将举行的 KSK 轮转演讲。

通过社交媒体参与
通过话题标签 #KeyRoll 参与对话：https://twitter.com/icann。

加入 KSK 轮转讨论清单
注册加入电子邮件清单，对相关问题进行公开讨论：https://mm.icann.org/listinfo/ksk-rollover。

宣传
与他人分享本网页，帮助其了解 KSK 轮转及其对他们的影响。

背景
2009 年，RZM 合作伙伴共同在根区部署了 DNSSEC，该项工作以 2010 年 7 月首次发布经验证的签字根区而告终。

NTIA 已规定了生成和维护根区 KSK 的要求 [PDF, 116 KB] 以及 RZM 合作伙伴各自的责任。根区维护人 (Verisign) 和 IANA 职能运营商 (ICANN) 制定的满足这些要求的程序发布在单独的 DNSSEC 规范声明 (DPS) 中：Verisign DNSSEC 签名服务 DPS[PDF, 138 KB] 和根区 KSK 运营商 DPS [TXT, 99 KB]。

NTIA 和 ICANN 之间的《IANA 职能合同》已于 2010 年 7 月修改为包含与根区 KSK 管理相关的责任，而且这些要求已纳入该合同的后续修订版中。

此外，NTIA 和 Verisign 之间的合作协议也于 2010 年 7 月进行修改，以反映 Verisign 根区 ZSK 运营商的责任。

《IANA 职能合同》要求 ICANN 实施根区 KSK 轮转，但并未提供具体的要求，或详细的时间表或实施计划。根区 KSK 运营商 DPS 包含该声明，并对第 6.5 节的轮转提出了要求：

"各 RZ KSK 将按计划根据需要或每运营 5 年通过密匙仪式进行轮转。"
拟定时间表
这些时间安排可能基于运营考量进行变更。

2016 年 10 月 27 日： 新 KSK 已生成，开始 KSK 轮转流程。
2017 年 7 月 11 日： 在 DNS 中发布新 KSK。
2017 年 9 月 19 日： 域名系统秘钥 (DNSKEY) 从根名称服务器上获得响应的规模扩大。
2017 年 10 月 11 日： 新 KSK 开始对根区密钥组进行签名（实际轮转事件）。
2018 年 1 月 11 日： 撤销旧 KSK。
2018 年 3 月 22 日： 旧版 KSK 最后一次出现在根区。
2018 年 8 月： 旧版秘钥从 ICANN 的两套秘钥管理设施中删除。
运营计划
2017 年 KSK 轮转运营实施计划 [PDF, 741 KB] — 详细描述完成 2017 年 KSK 轮转项目的运营步骤，包括八个阶段流程的时间表。
2017 年 KSK 轮转撤销计划 [PDF, 506 KB] — 基于实施运营计划期间发生的异常现象描述与运营实施计划之间的预期偏差。
2017 年 KSK 轮转外部测试计划 [PDF, 516 KB] — 包括准备互联网大众访问的运营测试环境，以评估外部系统是否准备好进行 KSK 轮转。
2017 年 KSK 轮转监测计划 [PDF, 437 KB] — 描述根区信任锚变更对流向根服务器的流量所产生的影响的监测计划。
2017 年 KSK 轮转系统测试计划 [PDF, 519 KB] — 描述测试 KSK 轮转涉及到的 ICANN 基础架构变更所需采取的措施。