2010年7月16日
各位
社団法人日本ネットワークインフォメーションセンター
ルートゾーンへのDNSSEC署名の追加について
2010年7月15日、DNSの最上位に存在するルートゾーンに対し、 正式な鍵によるDNSSEC(Domain Name System Security Extensions)の署名データが追加されました。
DNSSECとは、DNSにおけるセキュリティの強化を行うための拡張機能です。 DNSで提供する情報に電子署名を付加することにより、DNSサーバが問い合わせにより得た応答が、 問い合わせた本来のネームサーバからの応答かどうか、 DNSのゾーンやリソースレコード内容が改ざんされていないかどうか、 さらに問い合わせたレコードが存在するか否かを検証することができる仕組みです。
以前から、 キャッシュポイズニング*1などのDNSへの攻撃に対する防御のため、 DNSSECの導入が期待されていましたが、 分散データベースであるDNSの起点となるルートゾーンへの署名は、 その重要性や管理上の問題により、これまで導入に時間がかかっていました。
そうした状況もあり、 いくつかのTLDは独自に先行してDNSSECへの対応を開始していましたが、 ルートゾーンへの署名なしにDNSSEC検証を行うには、 各TLDが公開しているそれぞれのゾーンの公開鍵を、問い合わせ側が個別に入手し、 設定する必要がありました。 しかし、今回ルートゾーンに署名が追加されたことでその必要性がなくなり、 これまでより簡単に検証することが可能となります。
ルートゾーンへのDNSSEC署名データの追加にあたっては、 その影響する要因を分離し、問題がないかどうか確認するため、 2010年1月からDURZ(Deliberately Unvalidatable Root Zone)*2と呼ばれる検証不可能な署名データの追加が行われてきました。 追加に伴い、 ルートサーバではTCPを使った問い合わせの増加や応答パケットの増大などが観測されましたが、 致命的な影響はないと判断され、 2010年6月、ルートゾーンへのDNSSEC署名データの追加が正式に決定されました。 今回はこれを受けて実施した作業です。
今回のルートゾーンへの正式なDNSSEC署名によって、 各TLDはルートゾーンへの署名データ登録が可能になります。 それを行うことでTLDの持つゾーンのDNSSECの検証が可能となるため、 今後はTLDによるDNSSECの対応が進むものと考えられます。
参考
- ・DNSSEC Information:
- https://www.iana.org/dnssec/
- ・Root DNSSEC:
- http://www.root-dnssec.org/
- ・ISC Praises Momentous Step Forward in Securing the Domain Name System:
- http://www.isc.org/press-release/isc-praises-momentous-step-forward-securing-domain-name-system
- *1 DNSキャッシュポイズニングとは
- http://www.nic.ad.jp/ja/basics/terms/DNS-cp.html
- *2 DURZ(Deliberately Unvalidatable Root Zone)
- 意図的に検証不可能としたルートゾーン、 またはDNSSECの検証をできないようにするため、 意図的に入れられたダミーの署名データのことを指します。 ルートゾーンにDNSSECを導入した場合に影響が出るかどうかの確認に利用されていました。
以上
