JP DNSサーバーに設定されるDS RRのTTL値の変更について

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■JP DNSサーバーに設定されるDS RRのTTL値の変更について

                                株式会社日本レジストリサービス（JPRS）
                                                     2013/11/06（Wed）
---------------------------------------------------------------------

JPRSでは2013年11月17日より、JP DNSサーバーに設定されるDSリソースレコー
ド（以下、「RR」）のTTL設定値（以下、「TTL値」）を従来の86400（1日）か
ら、7200（2時間）に変更します。

▼変更の背景

  DNSSECでは、親ゾーンに設定されたDS RRと子ゾーンに設定されたDNSKEY RR
  により、信頼の連鎖（chain of trust）を確立（establish）します。

  信頼の連鎖を確立可能であるはずの状況においてその確立に失敗した場合、
  子ゾーンのデータは不正である（Bogus）と判断されます（DNSSEC検証失敗）。
  キャッシュDNSサーバーでDNSSEC検証を実施している（キャッシュDNSサーバー
  がバリデーターとなる）場合、子ゾーンに関するすべての名前解決がエラー
  となり（*1）、その結果、そのキャッシュDNSサーバーの利用者は、子ゾー
  ン及びそれ以下のゾーンのすべてのドメイン名にアクセスできなくなります。

  （*1）DNS問い合わせのCD（Checking Disabled）ビットを有効にすることで
        エラーを回避できますが、DNSSEC検証は実施されなくなります。

  このような状況が発生する原因の一つとして、親ゾーンのDS RRと子ゾーン
  のDNSKEY RR間の不整合が挙げられます。その事例として、鍵署名鍵の更新
  （以下、「KSKロールオーバー」）作業におけるゾーン管理者の運用ミスに
  起因するものが数多く報告されています。

  もし、子ゾーンの管理者が何らかの手違いにより不正なDS RRを親ゾーンに
  登録・公開することでDS RRとDNSKEY RR間の不整合が発生した場合、その影
  響が残る時間は親ゾーンのDS RRのTTL値に依存します。そのTTL値が長い場
  合、DNSSEC検証失敗からの復旧に時間を要することになります。

  復旧に要する時間を短縮するためには、親ゾーンに設定されるDS RRのTTL値
  を短くすることが有効です。ただし、DS RRのTTL値を必要以上に短くした場
  合、バリデーターや親ゾーンの権威DNSサーバーの負荷が上昇するなどの副
  作用が発生します。そのため、DS RRのTTL値として、適切な値を選択する必
  要があります。

▼変更内容と期待される効果

  JPRSでは検討の結果、2013年11月17日より、JP DNSサーバーに設定される
  DS RRのTTL値を現在の86400（1日）から、7200（2時間）に変更することと
  しました。これにより、JPRSへの不正なDS RRの登録・公開に起因する
  DNSSEC検証失敗からの復旧時間の短縮（同一営業日内における復旧可能性の
  増大）が期待できます。

  また、DS RRのTTL値はKSKロールオーバーの作業にも影響を及ぼします。KSK
  ロールオーバーでは親ゾーンのDS RRの切り替え完了後、親ゾーンのDS RRの
  TTL値の時間が経過するのを待つ必要があります（キャッシュの期限切れ待
  ち）。今回の変更ではこのための待ち時間が短縮されるため、登録済JPドメ
  イン名のKSKロールオーバーに必要な総作業時間の短縮が期待できます。

▼TTL値選定の理由

  DNSKEY RRとの不整合が発生した場合のDS RRの作用と、DNSデータの新規登
  録前にそのデータを検索してしまった場合のネガティブキャッシュの作用に
  はいずれも「その検索結果がキャッシュされている間、名前解決ができない
  状態が継続する」という類似性があります。この観点からDS RRのTTL値は、
  ネガティブキャッシュの一般的なTTL値に合わせることが実践的（practical）
  であると判断できます。

  RFC 2308において、ネガティブキャッシュの上限値は1時間から3時間が賢明
  である（make sensible）とされています。JPRSではこの値を今回の変更の
  目安とし、JP DNSサーバーの問い合わせ状況を分析しました。

  その結果、現状においてJP DNSサーバーに設定されるDS RRのTTL値を3600
  （1時間）から10800（3時間）のいずれの値にした場合も、バリデーターや
  JP DNSサーバーへの影響は十分に小さいことを確認しました。

  この結果を踏まえ、障害復旧時間・待ち時間の効果的な短縮が期待でき、か
  つ、設定されるDS RRの数やバリデーターの数が増加した場合にもJP DNSサー
  バーの運用に大きな影響を及ぼさない値として、中間値である7200（2時間）
  を選択しました。

▼変更の影響

  DS RRは親ゾーンにのみ設定されるため、今回の設定変更はJPRSのレジスト
  リシステム及びJP DNSサーバーにおけるもののみとなります。今回の変更に
  際し、JPドメイン名の登録者・利用者や権威DNSサーバー・キャッシュDNS
  サーバーの管理者、指定事業者各位において必要な作業はありません。

  今回の変更により、各バリデーターからJP DNSサーバーへのDS RRの問い合
  わせ頻度が増加します。しかし、JPRSではバリデーターが送信するDNS問い
  合わせ全体におけるDS RRの割合は十分に小さいことを事前の技術検証で確
  認しており、今回の変更に伴うバリデーターやJP DNSサーバーの負荷の上昇
  は限定的であると判断しています。

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2013/11/06 10:00 初版作成