ニュースレターNo.44/2010年3月発行
第76回IETF報告 DNS関連WG報告
dnsext WG
今回のdnsext WG会合では、TCPによるDNS問い合わせに関する話題が多くとりあげられました。これは、DNSSECの導入によりクエリサイズが大きくなることを解決する方法としての、TCPクエリの利用を想定した議論となっています。
draft-ietf-dnsext-dns-tcp-requirementsの発表では、RFC1123においてTCPによるDNSクエリ応答のサポートがSHOULDと明記されており、それをMUSTに変える必要があるのではないかと提案がありました。またEDNS0といった提案もあり、いまだUDPによるDNSクエリが一般的ではあるが、DNS実装としてはTCPを必須項目にするべきだ、と提案がなされました。しかしこの提案に対して、CPEといった小型の機器に内蔵されるDNS Proxy等はTCPをサポートしていないものが多く、EDNS0とTCPどちらもまだ、必ず機能するというものではないため、対策が必要であるとの認識がなされました。
次に、“TCP for DNS security consideration”という発表が行われました。これは、TCPに発見されているセキュリティ問題(draft-ietf-tcpm-tcp-security)に対して、DNSとしてどう対応すべきかという提案です。HTTP Keep Aliveと同じように、永続的にDNSサーバ間でTCPコネクションを保つような仕組みが必要になるかもしれないので、DNSクライアントは積極的にTCP active closeを行うべきだという提案がなされました。DNSクエリにTCPが本格導入されるにあたっての注意点を提起する発表となりました。
また、APNICのGeoff Huston氏から、“An Experiment in Implementing a Stateless TCP DNS Server”という発表が行われました。これはDNSクエリ応答のために簡略化されたTCPを用いるという提案です。もっとも、本人はこの提案を“Really a BadIdea!”と言っており、本気で提案したわけではないのですが、思いついて実験してみたらできてしまったので紹介した、というもののようです。ユーザーランドでTCPによるDNSクエリを受け取って、DNSサーバに仲介するというDNS Proxyモデルです。
以上のような、TCPによるDNSクエリに関する話題が会合の中心となりました。DNSSECの導入をにらんだ、現実的な提案が行われていたように思われます。
dnsop WG
dnsop WG会合では、DNSSEC鍵更新に関する話題、ならびにDNSSECのトラストアンカーに関する話題に多くの時間が割かれました。
まずdraft-morris-dnsop-dnssec-key-timingについての発表が行われ、DNSSECのZSK、KSKの鍵更新を行うタイミングに関して提案がなされました。発表後の質疑応答では、署名アルゴリズムの導入や削除に関する記述がもっと必要との提案がありました。ゾーンの署名サービスを提供しているOpenDNSSECも、この提案に基づいて鍵更新を行っているそうです。引き続き議論が行われます。
また、draft-ljunggren-dps-frameworkに関する発表も行われました。これは、ドメイン名レジストリに対して.seにおけるDNSSEC署名の経験を踏まえた提案を行っている文章です。署名されたゾーンの生成や更新、鍵の更新時における処理等を提案した文章となっています。
他には、CNNICの方がIDN TLDに関する発表を行いました。日本よりも漢字のバラエティが多い中国では、“bank.中国”と“bank.中國”の扱いをどうするのか、等大きな議論になっているようです。
Root DNSSEC Presentation with Q&A
IETF76において、公式なBoFではないのですが、オープンな会合として“Root DNSSEC Presentation with Q&A”という会合が開催されました。これは、Root DNSオペレーターやレジストリ、ICANNの有志からなるRoot DNSSECデザインチームによる、Rootゾーンの署名計画の報告と質疑応答が行われた会合です。まずRootゾーンの署名時期や、鍵管理の仕組みについて報告がありました。そして鍵の所有者を明確に定義し、VeriSign社が行うゾーン署名のシステム説明とその流れが報告されました。その後の質疑応答では、鍵が盗まれた際の緊急処理やゾーンの緊急再署名に関する話題を中心として、活発な議論が行われました。
署名されたRootゾーンの提供は、2010年7月までに行われる予定となっており、DNSSECの導入が急速に始まろうとしている感がうかがえました。
(JPNIC DNS運用健全化タスクフォースメンバー/東京大学 情報基盤センター 関谷勇司)