2018年根區KSK Rollover產生未預期的影響

KSK(Key Signing Key)rollover是架構在DNS和DNSSEC的基礎上,並牽涉到網際網路的安全和穩定性,本文重點摘要Verisign特聘工程師Duane Wessels於CricleID發表針對此議題的撰文。

2017年7月,新的根區DNSSEC KSK首次在DNS裡發布,在這個時間點網際網路中所有有效的解析器應該要開始自動更新其DNSSEC信任錨(Trust Anchor)的流程,根據當時資料顯示,僅有一小部分的驗證器沒有自動更新,這使得ICANN延遲KSK rollover(更換)以研究相關情況。

2018年繼續更換流程,而在10月根區的DNSSEC金鑰首先與新的KSK簽署。Verisign和其他單位對此做了大量的研究和終端用戶的推廣,只有非常少數的問題通報影響到使用者,因此多數人同意此次更換是一個重要的里程碑,然而,在根域名伺服器的流量上倒是有觀察到一些變化,根DNSKEY數據的查詢比例提高了五倍,在更換之前,Verisign的根伺服器每天收到大約1,500萬個查詢,更換後,它增加到約7,500萬。

2019年1月,舊的KSK標記為「已撤銷」,這會告訴驗證解析器應將其刪除,因為它不會再用於生成DNSSEC簽章,這原本不是一件大事,但是,來自根伺服器客戶端的DNSKEY查詢量反而增加了更多,截至2019年3月21日,Verisign的根名稱伺服器每天接收大約11.5億次DNSKEY查詢,比更換前高出75倍,占總恆穩狀態查詢流量的近7%。

第一次增加在10~12月期間保持水平,第二次增加則呈現出令人不安的趨勢,持續不停地成長,在2019年3月22日,舊的金鑰(標記為已撤銷)已從根區域中刪除,這是依照修訂的計劃和時間表進行的,以便適應4月1日更換ZSK(Zone Signing Key)。根據Verisign調查,刪除已撤銷的金鑰後,DNSKEY查詢率已回歸到撤銷前的頻率,因此,似乎區域中已撤銷金鑰的存在觸發了驗證解析器某些未預期的行為。

在未來幾週內,Verisign將與其他營運商和DNS研究人員合作,了解上述行為並找出合理的解釋,一旦理解了根本的原因,網路首次KSK更換完成將具有特別的意義,可做為根區域未來執行更換KSK最佳方式的參考。

原始文章

Scroll to Top