各位
一般社団法人日本ネットワークインフォメーションセンター
DNSSECバリデーションにおける
ルートゾーンKSKロールオーバーに関する重要なお知らせ
DNSSEC技術によるバリデーション(署名検証)で利用するルートゾーン鍵署名鍵(KSK)のロールオーバー(更新)について、 重要なお知らせをいたします。
この度のルートゾーンKSKの更新は、 ICANNがルートゾーンKSKの管理者として進めているものです。 これに伴い、インターネットユーザーの4人に1人、 つまり7億5000万人に影響を及ぼす可能性があるとICANNは推定しています。
このためICANNは、 ルートゾーンKSKの更新に関するガイドライン文書を公開し、 グローバルに幅広い関係者に向けた周知を行っており、JPNICは、 ICANNが提供しているこれらのガイドライン文書が日本の関係者にとって重要な情報であると判断し、 翻訳を公開しましたのでお知らせいたします。
国内では、このガイドラインに先駆け、 2015年から定期的な周知活動も実施されていますので(「国内発表資料」参照)、 対象者の皆さまは、ガイドラインとこれまでの国内発表資料とを、 ぜひ併せてご一読ください。
なお、ネットワーク機器の開発者および運用者等、 一見DNSに関わっていない方でも、 ルートゾーンKSKの更新はIPフラグメントの観点から、 意図せず関係してしまう可能性があります。 この点ご留意の上、対策の必要性を判断されることを推奨いたします。
記
対策が必要となる対象者
- ネットワーク機器の開発者
- ネットワーク機器の運用者
- DNSサーバ運用者
- DNSSECバリデーションを行うソフトウェアの開発者・ディストリビュータ
- DNSSECバリデーションを行うソフトウェアの保守担当者
- DNSSECバリデーションを行うリゾルバの運用者
必要な対策
ISP、 企業ネットワークの運用者およびDNSSECバリデータを運用しているその他の方は、 それぞれのシステムで利用している新たなKSKの公開鍵を更新する必要があります。
また、ネットワーク機器の開発・運用者も、 IPフラグメントの観点から意図していなくても関係してしまう可能性がありますので、 対策の必要性を今一度ご確認ください。
| (1)(2)(3)ネットワーク運用者およびDNSサーバ運用者【2017年9月19日までに要対策】 |
|---|
|
| (4)DNSSECバリデーションに対応したソフトウェアの開発者【早期対応を推奨】 |
|
| (4)コードまたは設定ファイルにルートゾーンKSKを含めているソフトウェア開発者・ディストリビュータ【早期対応を推奨】 |
|
| (5)RFC5011 自動トラストアンカー更新プロトコルに依存している運用者【2017年10月11日までに要対策】 |
|
| (6)DNSSECバリデーションを有効にしているリゾルバのトラストアンカー設定を手動で更新している運用者【2017年10月11日までに要対策】 |
|
この度、JPNICで翻訳したICANN文書
- 三分でわかるKSKロールオーバーについて
- https://www.nic.ad.jp/ja/translation/icann/2016/20160722.html
- KSKロールオーバー:よくあるご質問と回答
- https://www.nic.ad.jp/ja/translation/icann/2017/20170518.html
運用テスト環境
DNSSECバリデーションを行うソフトウェア開発者およびバリデーションリゾルバの運用者は、 自分のシステムがRFC5011を正しく実装し、 KSKの更新時に自動的に更新されるかを評価する上で、 ICANNが開発した以下の運用テスト環境にアクセスすることが可能です。
ルートゾーンKSKの更新に向けた主な日程
| 2016年10月 | 新たなKSKの生成[完了] |
| 2017年2月 | 新たなKSKのIANAウェブサイトでの公開[完了] |
| 2017年7月 | DNSにおける新たなKSKの公開 |
| 2017年10月 | 署名のための新たなKSKの利用 (実際のロールオーバー) |
| 2018年1月 | 古いKSKの失効 |
| 2018年3月 | 古いKSKの安全な削除とKSKのロールオーバープロセスの完了 |
参考:国内発表資料
- "ルートゾーン KSK ロールオーバー計画"(ICANN文書)
- https://www.icann.org/ja/system/files/files/root-zone-ksk-rollover-plan-draft-04aug15-ja.pdf
- Internet Week 2015:T5 今日から始めるDNSSECバリデーション
- https://www.nic.ad.jp/ja/materials/iw/2015/proceedings/t5/
- Internet Week 2016:T10 DNSハンズオン~DNS運用のいろは~
- https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/t10/
- JANOG39 "IPフラグメントがやってくる!準備できていますか?"
(米谷 嘉朗 株式会社日本レジストリサービス(JPRS)) - https://www.janog.gr.jp/meeting/janog39/program/kskro.html
- ICANN57 DNSSEC Workshop "Root KSK rollover outreach activities in Japan and findings"
(Yoshiro YONEYA (JPRS)) - https://schd.ws/hosted_files/icann572016/18/Yoshiro-Yoneya-20161101-JPRS-DNSSEC-Act-03.pdf
- Internet Week 2016:D3 脆弱性情報とDNSの本質を見抜く!第2部 DNS DAY "DNSSEC UPDATE"
(米谷 嘉朗 株式会社日本レジストリサービス(JPRS)) - https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yoneya.pdf
- ICANNがルートゾーンKSKロールオーバーの実施延期を発表
- https://www.nic.ad.jp/ja/topics/2017/20170928-01.html
本件に関するお問い合わせ先
以上
