 |
洛杉磯2026年5月20日 /美通社/ — 互聯網名稱與數字地址分配機構(Internet Corporation for Assigned Names and Numbers,簡稱 ICANN)今日宣佈,計劃於 2026 年 10 月 11 日更換網域名稱系統 (DNS) 的信任錨 (trust anchor)。 這項稱為「金鑰輪替」(rollover) 的變更,是維持 DNS 長期安全性、穩定性及韌性的重要一步。
該信任錨的正式名稱為「網域名稱系統安全擴充功能」(Domain Name System Security Extensions,簡稱 DNSSEC)根區域金鑰簽署金鑰(Key Signing Key,簡稱 KSK)。 KSK 是 DNSSEC 信任錨核心的加密金鑰,用於驗證 DNS 回應是否合法,以及確認資料在傳輸過程中未遭竄改。 DNSSEC 有助確保互聯網用戶在存取網站及網上服務時,所接收到的 DNS 資料屬真實可靠。 金鑰輪替程序會以新的 KSK 取代現有 KSK,以維持全球 DNS 的高強度加密安全防護。
互聯網號碼分配局(Internet Assigned Numbers Authority,簡稱 IANA)服務副總裁兼公共技術標識符(Public Technical Identifiers,簡稱 PTI)總裁 Kim Davies 表示:「信任錨金鑰輪替是一項經過周密協調的程序,有助保障 DNS 完整。 雖然大部分互聯網用戶未必會察覺任何變化,但 DNS 軟件營運商應確認其系統已妥善配置,以便在金鑰輪替前信任新金鑰。」
ICANN 透過其 IANA 的職能管理 DNS 根區域,並與全球互聯網社群的合作夥伴協調進行是次金鑰輪替工作。 為減低服務中斷風險,ICANN 會提前公布新的 KSK,讓受影響的營運商有充足時間更新系統,並驗證自動信任錨更新機制是否正常運作。
整個金鑰輪替程序按照分階段實施時間表進行,該時間表已於 2024 年展開,並將於 2027 年完成。 在此期間,現有及新的 KSK 均會維持有效,讓遞迴解析器 (recursive resolvers) —— 即由互聯網服務供應商、企業及其他機構營運、代表用戶查詢及驗證 DNS 資訊的系統 —— 有時間於新 KSK 在 2026 年 10 月開始為根區域簽署,以及舊金鑰於 2027 年 1 月退役前,採用新的信任錨。
我們鼓勵運行驗證型遞迴解析器 (validating recursive resolvers) 的營運商,尤其是使用手動配置的信任錨或較舊軟件的營運商,檢查其系統並確認已為是次金鑰輪替做好準備。 若未有及時更新系統,可能會在金鑰輪替日期後導致 DNS 解析失敗。
有關 KSK 金鑰輪替的更多資訊,包括操作指引及技術資源,請瀏覽 ICANN KSK 金鑰輪替資訊頁。
關於 ICANN
ICANN 的使命是協助確保全球互聯網保持穩定、安全和統一性。 要在互聯網上聯繫另一個人,你需要在電腦或其他裝置中輸入一個地址,它可以是名稱或數字。 該地址必須是獨一無二,電腦才能準確辨識並互相找到對方。 ICANN 負責在全球協調及支援這些獨有的識別碼。 ICANN 於 1998 年成立,為一間非牟利的公共利益公司,並匯聚來自全球各地的參與社群。 如欲了解更多資訊,請瀏覽 ICANN。