ITPub博客

互联网获得大规模的安全升级时会发生什么?

翻译 网络安全 作者:IT168GB 时间:2018-09-13 17:34:42 0 删除 编辑

无论人们是否准备好,可能很快就会启动升级互联网这个重要的安全操作,当然,也可能不进行升级。

全球互联网名称与数字地址分配机构(ICANN)将于9月17日举行会议,并将决定是否继续推进其多年规划的项目,以升级域名中使用的顶级加密密钥对。DNS安全扩展协议(DNSSEC),通常称为根区域密钥签名密钥(root KSK),用于保护全球互联网的基础服务器。

ICANN表示,改变这些密钥并使其更加强大是一个重要的安全措施,就像任何一位互联网用户认为定期更改密码被认为是一种实用性习惯一样。此更新将有助于防止某些恶意活动,例如攻击者控制会话,并将用户引导到例如可能窃取其个人信息的网站。

Root KSK的轮转应该发生在一年前,但由于担心它可能会破坏与大量网络用户的互联网连接,因此推迟到今年10月11日。

据ICANN称,密钥签名密钥(KSK)意味着生成一个新的加密公钥和私钥对,并将新的公共组件分发给运行验证解析器的各方。此类解析器运行的软件可将网站名称转换为数字IP地址。

ICANN表示,全球互联网服务提供商、企业网络管理员以及其他域名系统(DNS)解析器运营商、DNS解析器软件开发人员、系统集成商、安装或发送根服务器用户的“信任锚”的硬件和软件分销商也提供这种服务。

ICANN表示,它预计来自根区域密钥签名密钥(root KSK)的用户影响最小,但只有一小部分互联网用户可能面临将域名解析为IP地址的问题,这意味着到达他们的在线目的地的问题。

这个问题并不普遍,但仍令人担忧。“目前有少量的域名系统安全扩展(DNSSEC)验证错误配置了递归解析器,并且一些依赖这些解析器的用户可能会遇到问题。” ICANN在最近的一个文章中写道。递归解析器接收DNS解析请求,并找到可以实现它们的DNS服务器。

Verisign最近写道,今年早些时候当递归服务器的运营商只报告旧的信任锚时,就开始通知这些公司。但是在许多情况下,无法确定责任方,这在很大程度上是由于互联网服务提供商(ISP)用户的动态寻址。

此外,去年年底,ICANN开始接收来自更多根服务器运营商的信任锚信令数据,以及来自更多递归名称服务器的数据,因为递归名称服务器已更新为提供这些信号的软件版本。

Verisign写道,截至目前,这一比例相对稳定,大约7%的人仍然表示仍采用的是2010年的信任锚。

那么,企业和其他人应该从轮转中得到什么样的期望呢?首先,ICANN表示依赖具有新KSK的解析程序的用户和依赖不执行DNSSEC验证的解析程序的用户将不会受到任何影响。

ICANN表示,数据分析显示,超过99%的解析器正在验证的用户将不会受到KSK轮转的影响。

对于企业来说,他们应该已经更新了软件以进行自动密钥轮转(有时称为“RFC 5011” 轮转)或者现在手动安装新密钥。ICANN首席技术专家Paul Hoffman说,如果他们没有开启自动更新,他们必须在9月10日之前开启,否则更新机制不会及时正确地进行轮转。

Hoffman说:“请注意,无论是否在10月11日获得批准,都应该进行更新。新密钥已经是根区域中公布的可信密钥集的一部分,因此它应该成为每个人的信任锚。”

ICANN最近的一篇论文在根区域KSK轮转过程中期待的内容阐述了一些具体问题:

•如果所有用户的解析程序在其信任锚配置中没有新的KSK,则用户将在轮转后48小时内的某个时间点开始看到域名解析失败(通常是“服务器故障”或SERVFAIL错误)。无法预测受影响的解析器的操作人员何时会注意到验证失败。

发生此故障时,如果用户配置了多个解析器(大多数用户都这样做),他们的系统软件将尝试用户配置的其他解析器。这可能会降低DNS解析速度,因为他们的系统会在切换到准备好的解析程序之前继续尝试未准备好的解析程序,但用户仍然会获得DNS解析,甚至可能不会注意到速度减慢。

•如果所有用户的解析器都没有为轮转做好准备(例如,如果它们都由一个组织管理,并且该组织尚未准备好任何解析器),则用户将在48小时后的某个时间内开始看到故障。

•用户将看到不同的故障症状,具体取决于它们运行的程序以及该程序对DNS查找失败的反应。在浏览器中,网页可能变得不可用(或者网页上的图像可能无法显示)。在电子邮件程序中,用户可能无法获取新邮件,或者部分邮件正文可能显示错误。故障将会级联,直到没有程序能够显示来自全球互联网的新信息。

•一旦操作人员发现他们的解析器的DNSSEC验证失败,他们应该更改其解析器配置以暂时禁用DNSSEC验证。这应该导致问题立即停止。

•之后,运营商应尽快安装KSK-2017作为信任锚,并再次启用DNSSEC验证。ICANN组织提供了更新通用解析器软件的信任锚的说明。

“这种密钥轮转不是新技术。事实上,当2010年第一个KSK被添加到根区域时,我们知道它必须在某个时刻发生变化。”Hoffman说。“通过在未来需要时为其他轮转铺平道路,进行轮转将有助于提高DNS的稳健性。”

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31510736/viewspace-2214145/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2017-12-11

  • 博文量
    157
  • 访问量
    270315