網際網路名稱與數位位址分配機構(Internet Corporation for Assigned Names and Numbers,簡稱 ICANN)今日宣布,計劃於 2026 年 10 月 11 日更換網域名稱系統(DNS)的信任錨(trust anchor)。 這項稱為「金鑰輪替」(rollover)的變更,是維持 DNS 長期安全性、穩定性及韌性的重要一步。
該信任錨的正式名稱為「網域名稱系統安全擴充功能」(Domain Name System Security Extensions,簡稱 DNSSEC)根區域金鑰簽署金鑰(Key Signing Key,簡稱 KSK)。 KSK 是 DNSSEC 信任錨核心的加密金鑰,用於驗證 DNS 回應是否合法,以及確認資料在傳輸過程中未遭竄改。 DNSSEC 有助確保網際網路用戶在存取網站及網上服務時,所接收到的 DNS 資料屬真實可靠。 金鑰輪替程序會以新的 KSK 取代現有 KSK,以維持全球 DNS 的高強度加密安全防護。
網際網路號碼指派局(Internet Assigned Numbers Authority,簡稱 IANA)服務副總裁兼公共技術識別碼(Public Technical Identifiers,簡稱 PTI)總裁 Kim Davies 表示:「信任錨金鑰輪替是一項經過周密協調的程序,有助保障 DNS 完整。 雖然大部分網際網路用戶未必會察覺任何變化,但 DNS 軟體營運商應確認其系統已妥善配置,以便在金鑰輪替前信任新金鑰。」
ICANN 透過其 IANA 的職能管理 DNS 根區域,並與全球網際網路社群的合作夥伴協調進行本次金鑰輪替工作。 為減低服務中斷風險,ICANN 會提前公布新的 KSK,讓受影響的營運商有充足時間更新系統,並驗證自動信任錨更新機制是否正常運作。
整個金鑰輪替程序按照分階段實施時間表進行,該時間表已於 2024 年展開,並將於 2027 年完成。 在此期間,現有及新的 KSK 均會維持有效,讓遞迴解析器(recursive resolvers)──即由網際網路服務供應商、企業及其他機構營運、代表用戶查詢及驗證 DNS 資訊的系統──有時間於新 KSK 在 2026 年 10 月開始為根區域簽署,以及舊金鑰於 2027 年 1 月退役前,採用新的信任錨。
我們鼓勵運行驗證型遞迴解析器(validating recursive resolvers)的營運商,尤其是使用手動設定的信任錨或較舊軟體的營運商,檢查其系統並確認已為本次金鑰輪替做好準備。 若未有及時更新系統,可能會在金鑰輪替日期後導致 DNS 解析失敗。
有關 KSK 金鑰輪替的更多資訊,包括操作指引及技術資源,請瀏覽 ICANN KSK 金鑰輪替資訊頁。
(本文由 PR Newswire 授權轉載;首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
