摘要
本期观察覆盖2026年3月24日至30日期间DNSSEC根密钥签名密钥(KSK)轮换仪式执行情况、DNS over HTTPS(DoH)全球采纳统计数据更新以及近期DNS劫持事件的技术分析。所有内容基于公开技术资料整理,仅供研究与教育用途。
DNSSEC KSK轮换仪式
ICANN于3月26日在弗吉尼亚州Culpeper设施举行了第48次KSK仪式,该仪式为计划中的KSK-2026轮换做前期准备。仪式过程中,来自不同地理区域的七名密钥持有人(Crypto Officer)按照既定程序完成了恢复密钥(Recovery Key)份额的验证与新KSK的生成。新KSK的公钥部分将在未来60天内通过受信任的带外渠道分发给全球根区运营者,预计在6月中旬正式嵌入根区文件并进入信任锚更新周期。
本次轮换的技术方案延续了ICANN在2018年首次KSK轮换中验证的”双KSK并行发布”策略,即新旧KSK将在过渡期内同时出现在根区信任锚文件中,使验证解析器有时间自动更新而不会出现验证中断。ICANN同时提醒运营商确认其解析器已启用RFC 8145信任锚信令机制,以便在轮换期间及时感知信任锚变更。
KSK轮换的平稳执行对整个域名体系具有基础性意义。对于持有免备案域名的用户而言,DNSSEC的有效运行确保了域名解析结果的可验证性,降低了中间人篡改DNS响应的风险,但其保护范围仅限于DNS层,不涉及域名注册身份或备案合规层面。
DoH采纳统计
根据本周发布的APNIC与ICANN联合测量报告,全球DoH(DNS over HTTPS)递归解析请求占比已达到约18.3%,较2025年同期增长6.1个百分点。其中,浏览器内置DoH解析器贡献了约62%的DoH流量,操作系统级DoH配置贡献约24%,其余来自企业网络与移动运营商的DoH部署。
从地理分布看,北美地区DoH渗透率最高,约26.4%;欧洲次之,约21.7%;亚太地区约为12.9%,但增速最快,年同比增长约9.8个百分点。DoH的广泛采纳对传统DNS监控与过滤体系构成挑战,部分司法辖区的网络治理机构已开始评估对DoH流量实施本地解析策略的技术可行性。
DoT(DNS over TLS)方面,全球渗透率约为9.1%,主要部署集中在欧洲电信运营商与大型企业网络中。DoT在延迟敏感场景中较DoH具有轻微性能优势,但客户端支持广度仍落后于DoH。
DNS劫持事件报告
本周安全社区披露了一起影响范围较广的DNS劫持事件。某亚洲ccTLD注册局下属的三家注册商在3月22日至24日期间遭遇针对其DNS管理面板的凭据钓鱼攻击,攻击者获取管理权限后修改了约120个域名的权威DNS服务器指向,将流量重定向至仿冒页面。事件在24小时内被注册局安全团队发现并回滚,受影响域名已恢复原始DNS配置。
事后分析表明,攻击者利用了注册商管理面板缺少强制多因素认证(MFA)的漏洞。该注册局已要求所有签约注册商在30天内为DNS管理功能启用强制MFA,并将此要求纳入下一版本注册局-注册商协议(RRA)中。这起事件再次凸显了注册商侧安全控制对域名解析完整性的关键影响——即使DNSSEC部署完善,若权威区域的管理通道被突破,攻击者仍可绕过DNSSEC验证链。
本周数据要点
- KSK-2026轮换仪式执行日期:2026-03-26(第48次仪式)
- 全球DoH递归解析请求占比:约18.3%(同比+6.1pp)
- 全球DoT递归解析请求占比:约9.1%
- DNS劫持事件受影响域名数量:约120个
- 注册商强制MFA部署截止要求:事件后30天内
相关入口
常见问题
2026-03-30 加密支付与域名基础设施每周观察适合谁阅读?
适合需要理解域名注册、加密支付、隐私保护、DNS安全或稳定币基础设施的研究者、域名持有者和创业团队。
页面内容是否构成投资或法律建议?
不构成。页面仅用于教育研究和资料整理,具体决策应结合注册商条款、适用法律和专业意见。