ドメイン名関連会議報告
2005年
ICANNルクセンブルグ会議報告
~DNSSECワークショップ報告~
2005/07/29
ICANNルクセンブルグ会議期間中の7月12日に行われたDNSSECワークショップの模様をお伝えします。
会議風景
会議風景
DNSSECワークショップは、ccTLD、gTLD、ソフトウェアベンダー、各国政府等が参加するDNSSEC Deployment Initiativeの主導により開催されました。今年4月のICANNマルデルプラタ会議で開催された同ワークショップでは、DNSSECの概要を理解することが主眼となっていましたが、今回は、レジストリに焦点を当てたDNSSECの課題を議論することを目的とし、約70名の参加がありました。
ワークショップでは、SSAC(ICANN Security and Stability Advisory Committee:セキュリティと安定性に関する諮問委員会)チェアのSteve Crocker氏が司会を務め、VeriSignのMatt Larson氏、RIPE NCCのDaniel Karrenberg氏、DENIC(.DEレジストリ)のPeter Koch氏らの発表や議論を行いました。また、会場の参加者との公開討論セッションも設けられました。
TLD(Top Level Domain:トップレベルドメイン)におけるDNSSECサポートについては、約450存在するTLDの権威サーバ、及びそこで用いられている150にのぼるソフトウェアのアップデートをスムーズに行うのが難しいため、何らかの実装ガイドラインがなければDNSSECの普及が遅れるとの指摘がありました。そして、ICANNに対し、DNSSEC実装ガイドラインを策定するよう求める意見も聞かれました。
なお、Larson氏によると、VeriSignでは、2006年中に管理下のccTLD 1つについてDNSSECに対応させるとのことです。Larson氏は、.COMや.NETなどの巨大なゾーンでDNSSEC を導入するには、そのための大きなリソースと時間を要するため、まずは比較的小規模なTLDから着手すると述べました。
RIPE NCCでは、逆引きDNSにおいてDNSSECをサポートするプロジェクトを行っています。まず7月中に、RIPE NCCの権威サーバをBIND 9.3.0 (DNSSECは無効にした状態で)またはNSD 2.1にアップグレードし、今年の第3四半期にDNSSECを有効にした後、ripe.netなどの主なゾーンに順次署名を行い、第3四半期末までに、DNSSECによる安全な委任を導入する予定とのことです。最終的に、2006年初頭にはRIPE NCCが管理する全ての/8逆引きゾーン(インターネット初期に割り振られた、複数のRIRで共有している領域を除く)に対してDNSSECを有効にすることを目標にしています。
また、SSACチェアのSteve Crocker氏から、ルートゾーンにおけるDNSSECサポートについても言及がありました。ルートサーバの場合は親となるサーバがないため、適切な方法で鍵の分配および認証を受けなければなりませんが、現在そういったポリシーや手順はありません。このため、SSACでは、鍵の分配、認証、管理等に関するポリシー案を策定し、このワークショップ後数週間以内に文書として公開することを目指しています。
次回、12月のICANNバンクーバー会議では、レジストリおよびレジストラでの実装に焦点を当てたワークショップが開催される予定です。
本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。
ワークショップでは、SSAC(ICANN Security and Stability Advisory Committee:セキュリティと安定性に関する諮問委員会)チェアのSteve Crocker氏が司会を務め、VeriSignのMatt Larson氏、RIPE NCCのDaniel Karrenberg氏、DENIC(.DEレジストリ)のPeter Koch氏らの発表や議論を行いました。また、会場の参加者との公開討論セッションも設けられました。
TLD(Top Level Domain:トップレベルドメイン)におけるDNSSECサポートについては、約450存在するTLDの権威サーバ、及びそこで用いられている150にのぼるソフトウェアのアップデートをスムーズに行うのが難しいため、何らかの実装ガイドラインがなければDNSSECの普及が遅れるとの指摘がありました。そして、ICANNに対し、DNSSEC実装ガイドラインを策定するよう求める意見も聞かれました。
なお、Larson氏によると、VeriSignでは、2006年中に管理下のccTLD 1つについてDNSSECに対応させるとのことです。Larson氏は、.COMや.NETなどの巨大なゾーンでDNSSEC を導入するには、そのための大きなリソースと時間を要するため、まずは比較的小規模なTLDから着手すると述べました。
RIPE NCCでは、逆引きDNSにおいてDNSSECをサポートするプロジェクトを行っています。まず7月中に、RIPE NCCの権威サーバをBIND 9.3.0 (DNSSECは無効にした状態で)またはNSD 2.1にアップグレードし、今年の第3四半期にDNSSECを有効にした後、ripe.netなどの主なゾーンに順次署名を行い、第3四半期末までに、DNSSECによる安全な委任を導入する予定とのことです。最終的に、2006年初頭にはRIPE NCCが管理する全ての/8逆引きゾーン(インターネット初期に割り振られた、複数のRIRで共有している領域を除く)に対してDNSSECを有効にすることを目標にしています。
また、SSACチェアのSteve Crocker氏から、ルートゾーンにおけるDNSSECサポートについても言及がありました。ルートサーバの場合は親となるサーバがないため、適切な方法で鍵の分配および認証を受けなければなりませんが、現在そういったポリシーや手順はありません。このため、SSACでは、鍵の分配、認証、管理等に関するポリシー案を策定し、このワークショップ後数週間以内に文書として公開することを目指しています。
次回、12月のICANNバンクーバー会議では、レジストリおよびレジストラでの実装に焦点を当てたワークショップが開催される予定です。
関連URI
- DNSSEC Deployment Initiative
http://www.dnssec-deployment.org/ - DNSSEC Deployment at the RIPE NCC
http://www.ripe.net/rs/reverse/dnssec/index.html - ICANN Meetings in Luxembourg - DNSSec Workshop(Real-time captioning)
http://www.icann.org/meetings/luxembourg/captioning-dnssec-workshop-12jul05.htm
本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。