ルートゾーンKSKロールオーバーに関する現在の状況について

これまでもみなさまに何度かお知らせしているように、 DNSのルートゾーンを管理するICANNが、ルートゾーンKSKロールオーバー(鍵署名鍵の更新)を現在実施中です。

工程のうち、 2017年7月11日のKSK-2017の公開および9月19日のZSK(ゾーン署名鍵)の更新は、無事に完了いたしました。事前に懸念されていたような、 DNSKEY応答サイズの増加に伴うIPフラグメンテーションによる影響などは、これまでのところ大きな問題とはなっておりません。多くの方々にご協力いただいた結果です。ありがとうございました。

しかしながらICANNは、その後(2017年9月27日)に予定の延期を発表しました。延期されたのは、 10月11日に予定される現在の鍵(KSK-2010)での署名停止と新しい鍵(KSK-2017)による署名開始です。その理由としては、 DNSSECのトラストアンカーに古いKSK-2010のみを利用しているリゾルバ(DNSキャッシュサーバー)が、無視できない割合で存在することが新たに発覚したことを挙げています。

ICANNによると、シグナルを送ってきたリゾルバのうち6～8%ほどがまだKSK-2010のみをトラストアンカーとして利用しており、さらに日本国内の対応割合は、世界平均と比べて低いとのことです。多くの皆様には既にご対応いただいているところではありますが、まだ対応が行き届いているとまでは言えない状況のようです。

詳しくは以下のブログに解説しました。本ブログならびに本件に関する特設ページで最新の情報をご確認いただき、対応が必要な方はご対応いただきますようお願いいたします。ご不明点等は、末尾のお問い合わせ先でお受けいたします。