洛杉磯2026年5月20日 /美通社/ -- 互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu) (Internet Corporation for Assigned Names and Numbers, ICANN) 于今日宣布，計劃于 2026 年 10 月 11 日更改域名系統(tǒng) (Domain Name System, DNS) 的信任錨。這一變更被稱為"輪轉(zhuǎn)"，是維護(hù) DNS 長期安全、穩(wěn)定與彈性的重要一步。

該信任錨的正式名稱為域名系統(tǒng)安全擴(kuò)展 (Domain Name System Security Extensions, DNSSEC) 根區(qū)密鑰簽名密鑰 (Key Signing Key, KSK)。KSK 是 DNSSEC 信任錨的核心加密密鑰，用于驗證 DNS 響應(yīng)的合法性，并確保這些響應(yīng)在傳輸過程中未被篡改。DNSSEC 有助于確保互聯(lián)網(wǎng)用戶在訪問網(wǎng)站和在線服務(wù)時獲得真實的 DNS 數(shù)據(jù)。輪轉(zhuǎn)過程將用新的 KSK 替換當(dāng)前的 KSK，以維持全球 DNS 的強(qiáng)健加密安全保護(hù)。

"信任錨輪轉(zhuǎn)是一個經(jīng)過精心協(xié)調(diào)的過程，有助于保障 DNS 的完整性，"互聯(lián)網(wǎng)號碼分配機(jī)構(gòu) (Internet Assigned Numbers Authority, IANA) 服務(wù)副總裁兼公共技術(shù)標(biāo)識符 (Public Technical Identifiers, PTI) 總裁金?戴維斯 (Kim Davies) 表示。"雖然大多數(shù)互聯(lián)網(wǎng)用戶不會察覺任何變化，但 DNS 軟件運(yùn)營商應(yīng)在輪轉(zhuǎn)前確認(rèn)其系統(tǒng)已擁有正確配置，以便信任新密鑰。"

ICANN 通過其 IANA 職能來管理 DNS 根區(qū)，并與全球互聯(lián)網(wǎng)社群的合作伙伴協(xié)作協(xié)調(diào)此次輪轉(zhuǎn)。為最大限度降低服務(wù)中斷的風(fēng)險，ICANN 提前發(fā)布新的 KSK，讓受影響的運(yùn)營商有充足時間更新系統(tǒng)，并驗證自動信任錨更新機(jī)制是否運(yùn)行正常。

輪轉(zhuǎn)流程遵循分階段實施的時間表，始于 2024 年，將于 2027 年結(jié)束。在此期間，當(dāng)前和新的 KSK 均保持有效，這為遞歸解析器（即由互聯(lián)網(wǎng)服務(wù)提供商、企業(yè)及其他機(jī)構(gòu)負(fù)責(zé)運(yùn)營、代表用戶查詢和驗證 DNS 信息的系統(tǒng)）提供了時間，以便在新 KSK 于 2026 年 10 月開始對根區(qū)進(jìn)行簽名、且舊密鑰于 2027 年 1 月退役之前，采用新的信任錨。

建議運(yùn)行驗證型遞歸解析器的運(yùn)營商（尤其是那些手動配置了信任錨或使用舊版軟件的運(yùn)營商）審查其系統(tǒng)，并確認(rèn)是否已為此次輪轉(zhuǎn)做好準(zhǔn)備。若未能及時更新系統(tǒng)，輪轉(zhuǎn)日期過后可能會導(dǎo)致 DNS 解析失敗。

有關(guān) KSK 輪換的更多信息（包括操作指南和技術(shù)資源），請訪問 ICANN KSK 輪轉(zhuǎn)信息頁面。