• LACNIC 参加了第 57 次 DNS 根密钥签名仪式,该仪式重点是对当前 ZSK 进行签名和管理 KSK 轮换。
  • 推出了一款新工具用于检查解析器准备情况,因为在 2026 年截止日期之前,对认知和实施的担忧仍然存在。

发生了什么:LACNIC 参加第 57 次密钥签名仪式

2025 年 4 月底,第 57 次 DNS 根密钥签名仪式在美国东海岸的安全设施内举行。LACNIC通过其一名代表作为密码官出席了此次活动,其他区域互联网组织官员也参加了。仪式遵循常规流程,对当前的区域签名密钥(ZSK)进行签名,并继续为即将到来的密钥签名密钥(KSK)轮换做准备。

使用了新版操作系统和 HSM 控制软件(coen v2.0.1),标志着该平台的技术更新。据参与人员称,此次过程按照计划脚本顺利完成,没有出现任何异常。目前,DNS 根区域包含两个 KSK(20326 和 38696)和两个 ZSK,其中一个新 ZSK 计划在 6 月底出现。据报道,新的 KSK 已被超过 90%的解析器接受。

另请阅读:LACNIC 致力于增加拉丁美洲的互联网资源
另请阅读:
LACNIC 43 在波哥大活动上关注路由安全和 IPv6

为什么重要

根密钥签名仪式在维护全球 DNSSEC 信任链方面发挥着关键作用。虽然这一过程是常规性的,但它支撑着互联网命名系统的技术完整性。LACNIC的参与反映了区域互联网注册机构在 DNS 治理中的共同责任,尽管该仪式本身受到的公众关注有限。

鉴于互联网仍然依赖 DNS 基础设施的稳定性,密钥管理过程的复杂性和不透明性引发了对透明度和运营冗余的担忧。

这次仪式发生在持续的 KSK 轮换周期期间,这要求解析器运营商和软件供应商更新其系统以信任新密钥。LACNIC 的演讲者随后在 LACNIC43 技术论坛上讨论了这个话题,特别强调了 2026 年解析器合规的截止日期。

还推出了一款基于 RFC8509 的测试工具用于评估解析器准备情况,尽管它仍处于测试阶段。这些进展表明,虽然加密过程正在运作,但网络边缘的意识和实施可能滞后。如果没有持续的沟通和主动监控,密钥轮换可能带来中断风险。更广泛的问题仍然是,这些基本的安全事件是否在整个运营社区得到充分理解和支持。