DNSSEC 的根密钥更新

Issue

根据 Root Zone KSK Operator DNSSEC Practice Statement 的要求，ICANN 正在计划对根区域（Root Zone）的 DNSSEC（Domain Name System Security Extensions）KSK 进行滚动更新（rollover）操作。

KSK（Key Signing Key）或 DNSSEC 根（root）密钥会被改为一个新的密钥，这个新密钥需要以“硬代码”的形式包括在支持 DNSSEC 的 DNS 软件中。对于 RHEL 用户，这意味着，如果使用 bind 和 unbound 软件包来实现通过 DNSSEC 验证域名的域名解析服务，则会受到这个变化的影响。

滚动更新 KSK 意味着，产生一个新的实现加密的公钥和私钥对，并把公钥发送给提供验证域名解析服务的第三方，这包括 ISP、企业网络管理员、其他 DNS 解析程序的操作者、DNS 解析程序的开发人员、系统集成商、以及需要提供或安装根"信任密钥（trust anchor）"的硬件和软件厂商。KSK 被用来对区域签名密钥（Zone Signing Key，简称 ZSK）进行加密签名，而根区域维护者（Root Zone Maintainer）需要使用 ZSK 对互联网 DNS 的根区域进行 DNSSEC 签名。

在 KSK 进行了滚动更新后，只有使用最新的 DNSSEC 根密钥才可以保证 DNSSEC 验证的 DNS 解析器可以正常工作。如果没有使用当前的根区域 DNSSEC 根密钥，使用DNSSEC 验证的 DNS 解析器将无法解析任何 DNS 请求。

ICANN 提供了一个相关的信息介绍视频 Preparing Your Systems for the Root KSK Rollover