DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■ルートゾーンにおけるDNSSECの正式運用開始に伴う影響について
                                                      2010/07/15(Thu)
---------------------------------------------------------------------
2010年7月16日の午前4時30分から8時30分(日本標準時において。協定世界時
においては7月15日の19時30分から23時30分)にかけて、ルートゾーンにおい
てDNSSECの正式運用が開始されます。

本文書では、今回ルートサーバにおいて実施される変更の概要、及び既存の
DNSに与える影響について解説します。

▼変更の概要

今回の変更により、これまでDURZ(*1)として設定されていたダミーの署名デー
タが、正式の署名データに変更されます。これにより、IANAが公開するルート
ゾーンのトラストアンカー(公開鍵)をキャッシュDNSサーバに設定することで、
ルートゾーンのDNSSEC検証を有効にできるようになります。

(*1)DURZ: Deliberately Unvalidatable Root Zone
    「故意に検証不可能にしたルートゾーン」を示します。

▼既存のDNSに与える影響

ICANNでは既存のDNSに対する影響を最小限に留めるため、ルートゾーンへの
DNSSEC導入を慎重に進めてきました。DNS応答サイズの増大が既存のDNSに影響
を与えないことを検証するため、2010年1月から2010年5月にかけ、13あるルー
トサーバに対しDURZの導入が段階的に実施され、それに並行してDNS-OARCをは
じめとする専門家による調査と検証が実施・継続されてきました。現時点にお
いてDURZの導入完了後2カ月以上が経過しておりますが、DNSSEC導入の妨げと
なる、致命的な問題は報告されておりません。

前述の通り、今回の変更によりルートゾーンのDURZが正式の署名データに変更
されます。しかし、キャッシュDNSサーバにおいてDNSSEC検証を有効にするた
めには、同時に公開されるルートゾーンのトラストアンカーを入手し、それぞ
れのキャッシュDNSサーバに設定する必要があります。

すなわち、ルートゾーンのトラストアンカーをキャッシュDNSサーバに明示的
に設定しない限り、DURZが正式の署名データに変更されても、それだけでは
DNSSEC検証は有効にはなりません。そのため、現時点において問題なくDNSが
使用できている場合、今回の変更による影響はないものと考えられています。

▼備考

ルートゾーンへのDNSSEC導入の確認後、キャッシュサーバでDNSSECの検証を
行うための設定方法などの情報をご提供する予定です。

▼参考資料

ルートゾーンへのDNSSECの導入と展開
~DNSSECの世界的普及に向けた大きな一歩~
http://jpinfo.jp/event/2009/1216DNSSEC.html

DNSSECの導入状況とDNSSEC運用ガイドラインの改良に向けた取り組み
~第77回IETF Meetingにおける話題から~
http://jpinfo.jp/event/2010/0423IETF.html

---------------------------------------------------------------------

株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.