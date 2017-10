全球網域名稱管理機構(Internet Corporation for Assigned Names and Numbers,ICANN)原本要在今年10月11日部署強化DNS安全的「網域名稱系統安全擴充」( Domain Name System Security Extensions,DNSSEC),但因眾多ISP業者與網路營運商尚未準備就緒,因此決定延後到明年第一季部署。

傳統上的網域名稱系統(DNS)是將網路位址改為方便人類閱讀的字串,不過這個類似網路電話簿的系統自1983年問世以來,即經常遭受各種攻擊。因此,網際網路工程任務小組(Internet Engineering Task Force,IETF)在1999年提出了DNSSEC,於現有的DNS上加入數位簽章的機制,它會產生一對新的加密金鑰,並將新的公鑰傳送給經DNSSEC驗證後的解析器,以確保DNS內容不會於源頭被修改,DNSSEC的部署將可阻止駭客移轉DNS用戶的流量。

DNSSEC其中一個要件為金鑰加密金鑰(key signing key,KSK),它主要是用來驗證DNS架構上的根區域,ICANN原本計畫於今年10月11日部署KSK,不過偵測卻顯示ISP業者與網路營運商所使用的大量網路名稱解析器都還沒準備就緒。

ICANN表示,業者未安裝新金鑰有許多可能的原因,或者是解析軟體尚未妥善配置,還有些解析程式無法自動更新金鑰,具體的原因則還需進一步探討。

總之,ICANN決定延後KSK的部署時程,以避免草率變更可能對網路使用者所帶來的負面衝擊,同時亦將繼續與相關的業者交流,以確保它們能夠為金鑰變更作好準備。

ICANN估計DNSSEC就定位之後將能保障全球7.5億的網路人口。