メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

各位

一般社団法人日本ネットワークインフォメーションセンター

DNSSECバリデーションにおける
ルートゾーンKSKロールオーバーに関する重要なお知らせ

DNSSEC技術によるバリデーション(署名検証)で利用するルートゾーン鍵署名鍵(KSK)のロールオーバー(更新)について、 重要なお知らせをいたします。

この度のルートゾーンKSKの更新は、 ICANNがルートゾーンKSKの管理者として進めているものです。 これに伴い、インターネットユーザーの4人に1人、 つまり7億5000万人に影響を及ぼす可能性があるとICANNは推定しています。

このためICANNは、 ルートゾーンKSKの更新に関するガイドライン文書を公開し、 グローバルに幅広い関係者に向けた周知を行っており、JPNICは、 ICANNが提供しているこれらのガイドライン文書が日本の関係者にとって重要な情報であると判断し、 翻訳を公開しましたのでお知らせいたします。

国内では、このガイドラインに先駆け、 2015年から定期的な周知活動も実施されていますので(「国内発表資料」参照)、 対象者の皆さまは、ガイドラインとこれまでの国内発表資料とを、 ぜひ併せてご一読ください。

なお、ネットワーク機器の開発者および運用者等、 一見DNSに関わっていない方でも、 ルートゾーンKSKの更新はIPフラグメントの観点から、 意図せず関係してしまう可能性があります。 この点ご留意の上、対策の必要性を判断されることを推奨いたします。

対策が必要となる対象者

  1. ネットワーク機器の開発者
  2. ネットワーク機器の運用者
  3. DNSサーバ運用者
  4. DNSSECバリデーションを行うソフトウェアの開発者・ディストリビュータ
  5. DNSSECバリデーションを行うソフトウェアの保守担当者
  6. DNSSECバリデーションを行うリゾルバの運用者

必要な対策

ISP、 企業ネットワークの運用者およびDNSSECバリデータを運用しているその他の方は、 それぞれのシステムで利用している新たなKSKの公開鍵を更新する必要があります。

また、ネットワーク機器の開発・運用者も、 IPフラグメントの観点から意図していなくても関係してしまう可能性がありますので、 対策の必要性を今一度ご確認ください。

(1)(2)(3)ネットワーク運用者およびDNSサーバ運用者【2017年9月19日までに要対策】
  • 名前解決の失敗を発生させないため、 フルリゾルバ(キャッシュDNSサーバ)がIPフラグメントで名前解決に失敗しないことを担保してください
  • 期間中にDNSSECの応答サイズが1400オクテットを超える期間があります
(4)DNSSECバリデーションに対応したソフトウェアの開発者【早期対応を推奨】
  • RFC5011自動トラストアンカー更新プロトコルの対応が強く推奨されます
(4)コードまたは設定ファイルにルートゾーンKSKを含めているソフトウェア開発者・ディストリビュータ【早期対応を推奨】
  • 新たなKSKが利用されることを担保する必要があります
  • 新しいKSKが2017年2月に公開されていますので、 できるだけ早い対応が理想的です https://www.iana.org/dnssec/files
(5)RFC5011 自動トラストアンカー更新プロトコルに依存している運用者【2017年10月11日までに要対策】
  • 更新発生時に、DNSSECバリデーションを行っているリゾルバが、 自動的にルートゾーントラストアンカーを更新するよう設定されていることを担保する必要があります
(6)DNSSECバリデーションを有効にしているリゾルバのトラストアンカー設定を手動で更新している運用者【2017年10月11日までに要対策】
  • 期日までに新たなルートゾーンKSKの設定を確実に行う必要があります

この度、JPNICで翻訳したICANN文書

三分でわかるKSKロールオーバーについて
https://www.nic.ad.jp/ja/translation/icann/2016/20160722.html
KSKロールオーバー:よくあるご質問と回答
https://www.nic.ad.jp/ja/translation/icann/2017/20170518.html

運用テスト環境

DNSSECバリデーションを行うソフトウェア開発者およびバリデーションリゾルバの運用者は、 自分のシステムがRFC5011を正しく実装し、 KSKの更新時に自動的に更新されるかを評価する上で、 ICANNが開発した以下の運用テスト環境にアクセスすることが可能です。

ルートゾーンKSKの更新に向けた主な日程

2016年10月 新たなKSKの生成[完了]
2017年2月 新たなKSKのIANAウェブサイトでの公開[完了]
2017年7月 DNSにおける新たなKSKの公開
2017年10月 署名のための新たなKSKの利用 (実際のロールオーバー)
2018年1月 古いKSKの失効
2018年3月 古いKSKの安全な削除とKSKのロールオーバープロセスの完了

参考:国内発表資料

"ルートゾーン KSK ロールオーバー計画"(ICANN文書)
https://www.icann.org/ja/system/files/files/root-zone-ksk-rollover-plan-draft-04aug15-ja.pdf
Internet Week 2015:T5 今日から始めるDNSSECバリデーション
https://www.nic.ad.jp/ja/materials/iw/2015/proceedings/t5/
Internet Week 2016:T10 DNSハンズオン~DNS運用のいろは~
https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/t10/
JANOG39 "IPフラグメントがやってくる!準備できていますか?"
(米谷 嘉朗 株式会社日本レジストリサービス(JPRS))
https://www.janog.gr.jp/meeting/janog39/program/kskro.html
ICANN57 DNSSEC Workshop "Root KSK rollover outreach activities in Japan and findings"
(Yoshiro YONEYA (JPRS))
https://schd.ws/hosted_files/icann572016/18/Yoshiro-Yoneya-20161101-JPRS-DNSSEC-Act-03.pdf
Internet Week 2016:D3 脆弱性情報とDNSの本質を見抜く!第2部 DNS DAY "DNSSEC UPDATE"
(米谷 嘉朗 株式会社日本レジストリサービス(JPRS))
https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yoneya.pdf
ICANNがルートゾーンKSKロールオーバーの実施延期を発表
https://www.nic.ad.jp/ja/topics/2017/20170928-01.html

本件に関するお問い合わせ先

domain-query@nic.ad.jp

以上

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.