HKCert
保安博錄

DNSSEC : ICANN將於2018年10月11日進行根區域KSK密鑰轉換

發布日期: 04 / 10 / 2018
最後更新: 04 / 10 / 2018

DNS 是目前網路上最重要也最普及的基礎建設之一,幾乎所有的網路應用都透過 DNS 來將網域名稱解析為 IP,再進行後續的網路連線動作。然而,DNS是分散式架構設計,因此存在一些先天的資訊安全弱點。

 

DNSSEC 可稱作DNS安全擴展,它是基於DNS架構上的一個安全延伸標準。DNSSEC是透過數位簽章的技術,驗證域名在DNS系統中的各層數據來源,以確保資料的正確性和完整性。通過使用DNSSEC驗證,不但能增強DNS及整個網絡的安全,亦可防禦不同形式的DNS攻擊(例如偽造 DNS 紀錄及DNS 快取污染)。

 

為強化DNSSEC的安全性,定期進行密鑰轉換(Key Rollover)是DNSSEC的一個重要工作。互聯網名稱與數字地址分配機構 (“ICANN”) 將於2018年10月11日進行根區域域密鑰簽名密鑰轉換 (Root Zone KSK rollover),為確保在密鑰轉換後,DNS解析器仍能提供正常服務,我們希望各機構能檢查其DNS解析器,若DNS解析器已啟用DNSSEC驗證,請立刻更新及獲取最新的信任錨。同時,若大眾於2018年10月11日後發現部分網站無法正常瀏覽,可聯絡其DNS解析器運營商進行查詢,或將DNS設定至常見的安全 DNS 服務。

 

檢查DNS解析器的是否已獲取最新的信任錨 — 針對互聯網服務供應商、DNS管理員及相關技術團隊

https://www.icann.org/resources/pages/dns-resolvers-checking-current-trust-anchors-2018-06-28-zh

 

設定使用安全的 DNS 服務指南 — 針對家庭用戶

https://www.hkcert.org/my_url/zh/guideline/18071001

 

更多有關DNSSEC的根區域KSK密鑰轉換詳情,請參閱以下香港互聯網註冊管理有限公司公告:

 


 

香港互聯網註冊管理有限公司(“HKIRC”) 謹通知閣下互聯網名稱與數字地址分配機構 (“ICANN”) 將於2018年10月11日進行根區域密鑰簽名密鑰轉換(root zone KSK rollover)。ICANN為一獨立機構,肩負促進全球互聯網域名系統的安全及穩定,並致力保護最頂層的域名系統根部,以確保全球網絡安全。若閣下的解析器(“resolver”)系統已啟動域名系統安全擴展(“DNSSEC”),請盡快將此訊息廣泛通知 DNS系統管理員及技術團隊,並檢查及更新系統,為 KSK 密鑰轉換作好準備,確保用戶瀏覽網頁過程不受影響。

 

ICANN於2017年開始策劃是次KSK密鑰轉換,乃自2010年推出域名系統安全擴展(“DNSSEC”) KSK 以來首次作出轉換。當中包括在DNSSEC協議中,以最頂層DNS的位置作出密鑰加密(俗稱「根區域KSK」)。如果您已啟動DNSSEC驗證,請盡快透過新的KSK密鑰而進行轉換及更新系統,從而確保用戶瀏覽網頁過程不受影響。請參閱以下ICANN關於KSK密鑰轉換的簡介及重要日子:

https://www.icann.org/en/system/files/files/ksk-rollover-quick-guide-prepare-systems-25apr18-en.pdf

 

KSK密鑰轉換是網絡驗證的重要過程,透過一組組的密鑰加密形成新部份,並分散在DNSSEC系統上;每次運用DNSSEC於網上進行查詢時,便會通過根區域KSK來驗證其所在地。當新的KSK密鑰形成後,各互聯網服務供應商便需要使用ICANN提供的新密鑰更新其解析器系統。若您從未啟動DNSSEC,您的解析器系統將不會受到是次ICANN KSK密鑰轉換影響。如欲了解更多關於「根區域 KSK」的資訊及技術指南,請瀏覽https://www.icann.org/kskroll 

 

以及:

查看DNS驗證解析器中的當前信任錨

https://www.icann.org/dns-resolvers-checking-current-trust-anchors

 

使用最新的信任錨更新DNS驗證解析器
https://www.icann.org/dns-resolvers-updating-latest-trust-anchor

 

KSK轉換全面指南

https://www.icann.org/en/system/files/files/ksk-rollover-expect-22aug18-en.pdf

 

如有任何查詢,歡迎電郵 [email protected] 或致電 +852 2319 2303與我們聯絡。

 

 

香港互聯網註冊管理有限公司 謹啟