下月DNS根区更换密钥有问题？

互联网名称与数字地址分配机构目前已经使用多种语言发布根区密钥签名密钥在轮转期间可能会产生的问题。

密钥签名密钥简称KSK 指使用密钥对根区所有密钥进行签名，轮转指的是某个根区将启用新的KSK签名密钥。

在轮转签名期间由于全球DNS系统递归会出现变动，最终可能会导致少部分的互联网域名出现无法解析问题。

以下内容供普通用户查看，如果您是运营商/DNS运维人员/开发者等请查看 ICANN 的PDF文档。

根区KSK轮转定义：

早在2010年ICANN就开始使用DNSSEC对根区进行签名，DNSSEC 可确保服务器记录的数据没有经过篡改。

DNS根区的签名包括如下两种：签署根区主数据的域签名密钥ZSK和签署根区的根区密钥集进行签名的KSK。

ZSK通常每隔三个月就会更新确保数据安全，每个新的ZSK 均通过长期有效的KSK进行签名确保ZSK的有效。

当密钥签名密钥即KSK需要进行更改时即发生轮转，轮转期间原KSK将被停用新的KSK重新对ZSK 进行签名。

为什么要进行KSK轮转：

进行KSK轮转的目的在于确保全球DNS系统安全运行，不支持 DNSSEC 加密的DNS解析服务器将无法运行。

在进行轮转后超过99%的DNS服务器都可获得新KSK密钥签名，因此支持 DNSSEC 的解析器几乎没有影响。

在本次KSK 轮转过后那些尚未支持DNSSEC 加密的服务器由于无法获得新密钥因此可能出现无法正常解析。

对于普通用户可能产生哪些影响：

本次KSK轮转计划时间是国际时间2018年10月11日，具体进行轮转的时间暂时还没有确定有待最后的确认。

在轮转期间如果用户使用的不支持DNSSEC 的DNS解析服务器，那么将从轮转开始就会无法解析任何网站。

不论是网页还是应用程序的使用可能都会受到影响，如果使用DNSSEC 的DNS解析器则会平滑过渡无影响。

普通用户可以使用的应急措施：

如果在KSK轮转期间用户出现无法正常解析的问题，即打开任何网页都提示出错但QQ等却可以正常登录等。

这种情况就是DNS解析服务器无法正常进行解析，用户可以提前选择不同的DNS服务器作为备用进行切换。

多数用户使用单一公共DNS的两个地址或者直接获取运营商的DNS，这种情况下通常是不太可能出现问题。

但在KSK轮转期间推荐用户使用两家不同的公共DNS，如果其中某DNS出现无法解析则系统会使用备用的。

国内常用的公共DNS服务器：

腾讯(DNSPOD DNS+)公共DNS: 119.29.29.29 阿里公共DNS：223.5.5.5 百度公共DNS：180.76.76.76

DNS 派公共 DNS：101.226.4.6 （电信） DNS派公共DNS：123.125.81.6（联通）101.226.4.6 （移动）

建议在配置DNS服务器时使用两家不同的公共DNS服务器，这样的话基本可以应对KSK轮转潜在解析问题。