互联网名称与数字地址分配机构（ICANN）今日宣布，将于 2026 年 10 月 11 日对域名系统（DNS）的信任锚进行更换，此次变更被称为“密钥轮换”（rollover），被视为维护 DNS 长期安全性、稳定性和韧性的重要步骤。

信任锚正式名称为 DNS 安全扩展（DNSSEC）根区密钥签名密钥（KSK），这一加密密钥位于 DNSSEC 信任体系的核心，用于验证 DNS 响应在传输过程中未被篡改，帮助确保互联网用户在访问网站和在线服务时获得真实可靠的 DNS 数据。本次轮换将用一把新 KSK 替换现有密钥，以持续维持全球 DNS 体系的强加密安全防护。

ICANN 负责通过其 IANA 职能管理 DNS 根区，并与全球互联网社区合作协调此次信任锚轮换。ICANN 表示，将提前充分发布新的 KSK，便于相关运营方有足够时间更新系统并检查自动信任锚更新机制是否正常运行，从而尽可能降低对网络服务造成中断的风险。ICANN 旗下 IANA 服务副总裁兼公共技术标识符组织（PTI）总裁 Kim Davies 称，这一信任锚轮换是“一个精心协同推进的过程，有助于保障 DNS 的完整性”，并提醒 DNS 软件运营方应在轮换前确认系统已正确配置为信任新密钥。ICANN 强调，多数普通互联网用户在日常使用中不会感受到明显变化，但对 DNS 解析软件的运营者来说，提前完成技术准备至关重要。

根据 ICANN 公布的时间表，本次轮换采用分阶段实施，自 2024 年启动，将持续至 2027 年结束。在这一期间，当前与新一代 KSK 将同时保持有效，为各类递归解析器预留充足过渡时间。这些递归解析器通常由互联网服务提供商、各类企业及其他组织运营，负责代表终端用户查询和验证 DNS 信息。根据计划，新 KSK 将从 2026 年 10 月开始为根区签名，旧密钥则将在 2027 年 1 月正式退役。ICANN 指出，这一过渡设计旨在确保不同规模、不同技术条件的运营方都能在既定窗口内完成适配，避免出现大范围解析故障。

ICANN 特别提醒，运行具备验证功能的递归解析器的运营方，尤其是那些仍使用手动配置信任锚或运行较旧软件版本的单位，应尽快对系统进行全面审查，确认已为此次轮换做好准备。ICANN 警告称，若相关系统未能及时更新信任锚，在轮换日期之后可能出现 DNS 解析失败，导致用户无法正常访问部分网站或在线服务。为降低上述风险，运营方被建议测试其自动信任锚更新机制，或在必要时手动导入新 KSK，以确保在新密钥启用前完成所有关键步骤。

关于本次 KSK 轮换的更多信息，包括操作指引和技术资源，ICANN 已在其官网设立专门页面“ICANN KSK Rollover Information Page”，向全球 DNS 运营社区提供细化说明和支持材料。ICANN 呼吁各类网络基础设施运营方积极关注最新通告，参与社区协作，配合完成这一被视为“下一次重大互联网安全更新”的关键工程。