准备好与否,升级到一个重要的网络安全操作可能很快就会推出。再说,这可能不是。
互联网名称与数字地址分配机构(ICANN)将满足9月17日的一周,可能会决定是否给继续在其多年的项目升级前一对加密密钥使用的域名系统安全扩展法案同样(域名系统安全扩展)协议——通常被称为根区密钥签名密钥(KSK)——保证互联网的基本服务器。
改变这些键,使其更强的安全是一个重要的一步,几乎以相同的方式,定期更改密码被认为是一个实用的习惯,任何互联网用户,ICANN说。更新将帮助预防某些违法活动,如攻击者控制的会话和指导用户网站,例如可能会窃取个人信息。
这根KSK翻转从2010年2017年KSK KSK应该大约一年前,但举行推迟到10月11日今年因为担忧它可能扰乱互联网连接大量的网络用户。
KSK展期意味着生成一个新的公共和私人密钥对加密和分发新的公共组件方操作验证解析器,根据ICANN。解析器运行软件,将网站如networkworld.com转换成数字IP地址。
互联网服务提供商提供这种服务企业网络管理员和其他域名系统(DNS)解析器操作;DNS解析器软件开发人员;系统集成商;和硬件和软件分销商安装或船根的“信任锚,ICANN的状态。
ICANN表示,预计最少的用户影响从根KSK,但一小部分互联网用户可能面临问题解决域名到IP地址——这意味着问题达到他们的网站之一。
这个问题并不普遍,但仍然是一个问题。”目前有少量的域名系统安全扩展法案同样(域名系统安全扩展)验证递归解析器配置,和一些用户依赖这些解析器可能会遇到的问题,“ICANN中写道最近的版本。递归解析器接收DNS解析请求,找到能满足他们的DNS服务器。
Verisign最近写今年早些时候它开始联系运营商递归服务器,当他们只报道老信任锚。然而,在许多情况下,一个负责任的政党无法识别,很大程度上归因于ISP用户的动态寻址。此外,去年年底,ICANN开始收到信任锚从更多的根服务器运营商信号数据,以及更多的递归域名服务器的数据提供的递归域名服务器更新软件版本,这些信号。到目前为止,比例相对稳定在大约7%的记者仍然信号2010信任锚,Verisign写道。
所以,企业应该和其他人预计从展期,应该发生?首先,ICANN说用户依赖于一个解析器,新的KSK和用户法案同样依赖于一个解析器,不执行域名系统安全扩展验证不会看到任何影响。数据分析表明,超过99%的用户的解析器验证将KSK展期的影响,ICANN说。
至于企业,他们应该已经更新了软件自动键滚动(有时被称为“RFC 5011“滚动)或手动安装了新的密钥了。如果他们没有打开自动更新,他们必须在9月10日之前,或更新机制没有踢在正确时间翻转,ICANN首席技术专家保罗·霍夫曼说。
“注意,他们应该做更新不管我们得到批准展期10月11日,”霍夫曼说。“新钥匙已经信任的键的集合的一部分被宣布在根区,这对每个人来说都应该是一个信任锚。”
最近ICANN纸根KSK展期期间会发生什么阐述了一些specifici担忧:
- 如果一个用户的所有解析器没有的新KSK信任锚配置,用户将开始看到名称解析失败(通常是服务器故障或SERVFAIL错误)在某种程度上在48小时内翻转。是不可能预测什么时候影响运营商的解析器会注意到验证是失败的。
- 当发生故障时,如果用户有多个解析器配置(如大多数用户所做的),他们的系统软件将尝试其他用户配置的解析器。这可能降低DNS解析的解析器在他们的系统不断尝试切换到前没有准备好准备的解析器,但用户仍然会DNS解析和经济放缓甚至可能不会注意到。
- 如果用户的所有解析器不准备展期(例如,如果他们都是由一个组织和管理,组织并没有做出任何的解析器准备好),用户将开始看到失败在翻转后的48小时。
- 用户将看到不同的失败的症状取决于程序运行以及如何应对失败的DNS查找。在浏览器中,很可能一个web页面将变得不可用(或可能只有图片已经显示web页面可能无法出现)。在电子邮件程序,用户可能无法得到新邮件,或部分消息正文可能显示错误。失败会级联,直到没有程序能显示新的信息从互联网上。
- 一旦法案同样运营商发现解析器的域名系统安全扩展验证是失败,他们应该改变他们的法案同样临时禁用域名系统安全扩展验证解析器配置。这将导致立即停止的问题。
- 之后,操作员应安装,尽快ksk - 2017法案同样信任锚和打开域名系统安全扩展再次验证。ICANN组织提供了普遍信任锚更新指令解析器软件。
“这关键翻转并不是新技术;事实上,当第一个KSK是添加到根区在2010年,我们知道,它将不得不改变在某种程度上,”霍夫曼说。“做展期将帮助铺平了道路使DNS更加健壮的其他滚动在未来是必要的。”