新闻发布：ICANN 宣布下一项重大互联网安全更新

洛杉矶2026年5月20日 美通社 －－ 互联网名称与数字地址分配机构 （Internet Corporation for Assigned Names and Numbers, ICANN） 于今日宣布，计划于 2026 年 10 月 11 日更改域名系统 （Domain Name System, DNS） 的信任锚。这一变更被称为“轮转”，是维护 DNS 长期安全、稳定与弹性的重要一步。

该信任锚的正式名称为域名系统安全扩展 （Domain Name System Security Extensions, DNSSEC） 根区密钥签名密钥 （Key Signing Key, KSK）。KSK 是 DNSSEC 信任锚的核心加密密钥，用于验证 DNS 响应的合法性，并确保这些响应在传输过程中未被篡改。DNSSEC 有助于确保互联网用户在访问网站和在线服务时获得真实的 DNS 数据。轮转过程将用新的 KSK 替换当前的 KSK，以维持全球 DNS 的强健加密安全保护。

“信任锚轮转是一个经过精心协调的过程，有助于保障 DNS 的完整性，”互联网号码分配机构 （Internet Assigned Numbers Authority, IANA） 服务副总裁兼公共技术标识符 （Public Technical Identifiers, PTI） 总裁金•戴维斯 （Kim Davies） 表示。“虽然大多数互联网用户不会察觉任何变化，但 DNS 软件运营商应在轮转前确认其系统已拥有正确配置，以便信任新密钥。”

ICANN 通过其 IANA 职能来管理 DNS 根区，并与全球互联网社群的合作伙伴协作协调此次轮转。为最大限度降低服务中断的风险，ICANN 提前发布新的 KSK，让受影响的运营商有充足时间更新系统，并验证自动信任锚更新机制是否运行正常。

轮转流程遵循分阶段实施的时间表，始于 2024 年，将于 2027 年结束。在此期间，当前和新的 KSK 均保持有效，这为递归解析器（即由互联网服务提供商、企业及其他机构负责运营、代表用户查询和验证 DNS 信息的系统）提供了时间，以便在新 KSK 于 2026 年 10 月开始对根区进行签名、且旧密钥于 2027 年 1 月退役之前，采用新的信任锚。

建议运行验证型递归解析器的运营商（尤其是那些手动配置了信任锚或使用旧版软件的运营商）审查其系统，并确认是否已为此次轮转做好准备。若未能及时更新系统，轮转日期过后可能会导致 DNS 解析失败。

有关 KSK 轮换的更多信息（包括操作指南和技术资源），请访问 ICANN KSK 轮转信息页面。