资讯公告
  • 你的位置:
  • 首页
  • >
  • 资讯公告
  • >
  • 域名
  • >
  • ICANN:面对新冠病毒时期如何进行域名DNS关键签名仪式
ICANN:面对新冠病毒时期如何进行域名DNS关键签名仪式
发布时间:2020-04-22 发布者:FebHost

互联网名称与数字地址分配机构(ICANN)每年四次召集来自世界各地的专家来举行“关键签名仪式”,这是一项关键的运营活动,对于我们保护域名系统(DNS)至关重要。鉴于COVID-19大流行以及相关的在家下单和旅行限制,IANA团队一直致力于如何成功地继续进行这些操作。本周,我们的计划将以独特的密钥签名仪式达到高潮,该密钥签名仪式已更改以适应当前环境。


密钥签名仪式是特殊的操作事件,在此我们使用保护DNS根区域安全的加密密钥。在这些仪式中,我们从其安全保护中检索根区域密钥签名密钥(KSK)(一种保护DNS的主密钥),并生成三个月的加密签名以用于根区域的日常签名。该系统旨在让社区中的各种安全专家参与,我们称为“ 可信社区代表”,以访问KSK。这些社区成员的设计是全球性的,以帮助最大程度地降低风险;他们只有在我们举行仪式时才在同一地点开会。


关键签字仪式的计划提前六个月开始。2月,我们意识到COVID-19可能会影响原定于4月举行的仪式。互联网名称与数字地址分配机构(ICANN)组织正在评估ICANN67等事件的风险,并且很显然,由于我们需要将世界各地的人们召集在一起,因此可能会对我们执行关键签名仪式的能力产生重大影响。使用COVID-19时,在全球范围内的角色分配旨在降低正常运营中的总风险,但是在这种情况下,进行正常的仪式会遇到重大挑战。


评估了仪式运营的许多不同方面。我们可以把它放在另一个地方吗?我们可以安排旅行方式以最大程度地降低旅行者的风险吗?我们可以推迟仪式直到事情恢复正常吗?我们考虑了许多不同的配置,并在几个社区论坛中与参加典礼的人,ICANN组织工作人员和我们的供应商一起测试了我们的想法。


最终,经过ICANN董事会的批准,我们正在着手进行改版仪式,以最大程度地减少亲自参加的必要性。使用这种替代方法,可信任的社区代表将不会亲自出席。取而代之的是,他们的角色将被远程执行,传统上是亲自执行的其他角色也将被远程执行。总共,我们只有7个人在我们的安全机构中进行仪式,所有人都采取预防措施以最大程度地降低COVID-19的风险。所有其他角色将远程执行。


受信任的社区代表举行的仪式中使用的安全元素已独立移交给洛杉矶地区的其他ICANN组织工作人员以进行保管。我们将使用在线流媒体在完全透明的情况下进行颁奖典礼,并将继续通过远程参与使受信任的社区代表积极参与程序。


我们正在进行的另一个重要更改是生成九个月的签名材料,而不是正常的三个月。这样一来,在2020年余下的时间里就无需再举行任何重要仪式。额外签署的材料将为我们提供喘息的空间,然后再寻求在2021年恢复我们的正常运营方式。


我们相信,我们设计的方法将保留所有必要的安全保护,以充分保证KSK是安全的,同时进行必要的调整以确保每个人所依赖的基本Internet操作都不会受到影响。遗憾的是,我们需要进行这些更改,但维护社区成员和员工的安全至关重要。为了所有人的幸福,我们必须以这种形式举行仪式。


我们将于4月23日(星期四)世界标准时间1700举行这次新配置的密钥签名仪式。它将在线流式传输,欢迎任何人观看。直播,脚本和其他材料将在https://www.iana.org/dnssec/ceremonies/41上提供。


如果您有兴趣了解更多信息,我们最近向RIPE社区进行了深入的介绍,介绍了一些挑战。有关演示文稿和相关幻灯片的记录,请访问https://www.ripe.net/participate/ripe/wg/dns/remote-sessions。

购物车