---------------------------------------------------------------------
■JPゾーンにおけるDNSSEC署名の開始による影響について
                                                      2010/10/15(Fri)
---------------------------------------------------------------------

JPRSでは、JPドメイン名サービスへのDNSSECの導入に先立ち、2010年10月17日
よりJPゾーンにおけるDNSSEC署名(以下、単に「DNSSEC署名」とします)を開始
します。本文書では、今回のDNSSEC署名の開始が既存のDNSに与える影響につ
いて解説します。


▼DNSSEC署名の概要

今回のDNSSEC署名では、2010年8月30日に公開した以下の文書に記述されるパ
ラメーターを使用します。

    JPゾーンのDNSSECに関するパラメーターについて
    http://jprs.jp/dnssec/doc/parameter.html

DNSSEC署名の開始により、JPゾーンの上位に当たるルートゾーンへのDSレコー
ドの登録、すなわち、DNSSECの導入に際し必要となる、ルートゾーンからの信
頼の連鎖を構築するための準備が整うことになります。


▼既存のDNSに与える影響

今回のDNSSEC署名は、DNSSECに非対応のキャッシュDNSサーバー、具体的には
キャッシュサーバーからのDNS問い合わせにおいてDOビットが無効に設定され
ている場合の動作には、特に影響を与えません(*1)。

(*1)例外として、jp自身に対するANYレコードの問い合わせに対しては、
    JP DNSからの応答サイズが大きくなります。

一方、バージョン9.3以降のBIND 9やUnboundなど、キャッシュDNSサーバーか
らのDNS問い合わせにおいてDOビットが有効に設定されている場合は、今回の
DNSSEC署名によってキャッシュDNSサーバー側でDNSSECによる名前検証を有効
に設定している／いないにかかわらず、JP DNSからの応答にDNSSEC関連の情報
が追加されるようになります。

これによりJP DNSからのDNS応答サイズが増大し、キャッシュDNSサーバーにお
いて保持される情報も増大します。そのため、DNSSEC署名の開始後、各キャッ
シュDNSサーバーにおけるネットワークの使用状況の確認や、namedやunbound
などのネームサーバープログラムにおけるメモリ使用状況の確認を実施すると
よいでしょう。

技術的詳細については、JANOG24 Meetingにおける以下の発表資料をご参照く
ださい。

    あなたのDNS運用は来るべきDNSSEC時代に耐えられますか
    ～民田 雅人　(株式会社日本レジストリサービス)～
    http://www.janog.gr.jp/meeting/janog24/program/d1p4.html


▼参考資料

JPドメイン名サービスへのDNSSECの導入予定について
http://jprs.jp/info/notice/20090709-dnssec.html

---------------------------------------------------------------------
▼更新履歴
   2010-10-15 11:45 初版作成