---------------------------------------------------------------------
■ルートゾーンKSKロールオーバーによる影響とその確認方法について
株式会社日本レジストリサービス(JPRS)
初版作成 2017/07/10(Mon)
最終更新 2019/01/16(Wed)
(旧KSK失効時のDNSKEY RRの応答サイズを修正)
---------------------------------------------------------------------
▼概要
2017年7月より、ルートゾーンにおいてDNSSEC鍵署名鍵(KSK)の更新(以下、
ルートゾーンKSKロールオーバー)のプロセスが開始されます。今回のルー
トゾーンKSKロールオーバーは2010年のDNSSECの運用開始後初となるもので、
複数のステップにより実施されます。
ルートゾーンKSKロールオーバーの一部のステップにおいて、ルートサーバー
のDNSKEYリソースレコード(DNSKEY RR)の応答サイズが増加します。これ
によりIPフラグメントが発生し、DNS応答を正しく受け取れなくなる可能性
があります。なお、その可能性はDNSSEC検証の有効・無効には関係ありませ
ん。
そのため、JPRSではすべてのネットワーク管理者・フルリゾルバー(キャッ
シュDNSサーバー)の管理者に対し、各自のネットワークにおいてサイズの
大きなDNS応答を正しく受け取れるかを早急に確認し、問題が発見された場
合、適切に対応することを強く推奨します。
なお、具体的な確認方法につきましては以下の資料「ルートゾーンKSKロー
ルオーバーの概要と影響の確認方法」をご参照ください。
ルートゾーンKSKロールオーバーの概要と影響の確認方法
(最終更新:2019年1月16日)
<https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf>
また、DNSSEC運用への影響を含む詳細情報につきましては、本文書の参考リ
ンクをご参照ください。
(2017年8月10日追加)
ルートゾーンKSKロールオーバーについて、JPRSの窓口に寄せられたご質問
と、その回答をまとめた文書を公開しました。
■ルートゾーンKSKロールオーバーについてのご質問とその回答
(最終更新:2019年1月16日)
<https://jprs.jp/tech/notice/2017-08-10-root-zone-ksk-rollover-qa.html>
▼重要日付(ステップ開始日)と継続期間
・2017年9月19日~2017年10月11日
(ZSKロールオーバーに伴う新ZSKの事前公開)
※この期間、DNSKEY RRの応答サイズが1414バイトに増加
(2017年9月29日追加)
3カ月ごとに実施されるZSKロールオーバーにより2017年10月11日に旧ZSK
が削除され、DNSKEY RRの応答サイズが1139バイトに減少します。以降、
DNSKEY RRの応答が1414バイトに増加する状況が新KSKでの署名開始まで、
ZSKロールオーバーのタイミングごとに繰り返されます。
(2018年10月04日更新)
・2018年10月11日(新KSK(KSK-2017)での署名開始)
2018年9月16日にベルギーで開催されたICANN理事会において、ルートゾーン
KSKロールオーバーにおける新KSKでの署名開始の日程を、2018年10月11日午
後4時(協定世界時)とすることが決議されました。
詳細につきましては、ICANNのアナウンスをご参照ください。
News Release: Board Approval of KSK Roll - ICANN
<https://www.icann.org/resources/press-material/release-2018-09-18-en>
ニュースリリース:KSKのロール に関する理事会の承認 - ICANN
<https://www.icann.org/resources/press-material/release-2018-09-18-ja>
(2018年10月25日追加)
2018年10月11日午後4時(協定世界時)、新KSKによる署名が開始されまし
た。大きな問題の発生は報告されず、KSKの切り替えが成功したことと、
2019年第一四半期に旧KSK(KSK-2010)の失効を実施予定である旨のプレ
スリリースが、2018年10月15日にICANNから発表されました。
最初のルートKSKロールオーバーが正常に完了 - ICANN
<https://www.icann.org/news/announcement-2018-10-19-ja>
First Root KSK Rollover Successfully Completed - ICANN
<https://www.icann.org/news/announcement-2018-10-15-en>
(2018年10月25日更新、2019年1月16日修正)
・2019年1月11日~2019年3月22日
(旧KSK(KSK-2010)の失効のための事後公開)
※この期間、DNSKEY RRの応答サイズが1425バイトに増加
▼参考リンク
ルートゾーンのKSKロールオーバーについて
<https://dnsops.jp/event/20170628/20170628-RootKSKRO-02.pdf>
(JPRS 米谷喜朗の発表資料、2017年6月28日付)
ルートゾーンのKSKロールオーバーについて
(ISPから見た事前確認・準備のポイント)
<https://dnsops.jp/event/20170628/DNS_Summer_DAY_KSK_RO_suev0.1.pdf>
(QTnet 末松慶文氏の発表資料、2017年6月28日付)
Root KSK 更新に対応する方法
<https://www.nic.ad.jp/ja/materials/iw/2015/proceedings/t5/t5-ishihara.pdf>
(東京大学 石原知洋氏の発表資料、2015年11月19日付)
Operational Notification: KSK-2010 will be retired from the root zone,
potentially affecting validating resolvers
<https://kb.isc.org/article/AA-01529>
(BINDにおける設定確認方法(ISC)、2017年9月28日付)
Root KSK Rollover in BIND
<https://kb.isc.org/article/AA-01525>
(BINDにおけるルートゾーンKSKロールオーバーの影響(ISC)、2017年7月1日付)
SIDN : Trust anchor installation for new root KSK
<https://www.sidn.nl/a/internet-security/trust-anchor-installation-for-new-root-ksk>
(新KSKに対応したトラストアンカーのインストール方法(SIDN)、2017年7月12日付)
Root Zone KSK Rollover
<https://www.icann.org/resources/pages/ksk-rollover>
(ICANN公式ページ)
ICANN、KSKロールオーバーにおける注意事項についての包括的なガイドを発行 - ICANN
<https://www.icann.org/news/announcement-2018-08-27-ja>
KSK Rollover - Verisign
<https://verisign.com/KSKRollover>
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
さい。
---------------------------------------------------------------------
▼更新履歴
2017/07/10 11:00 初版作成
2017/07/25 11:00 PDF資料の更新を反映
2017/08/10 11:00 「ルートゾーンKSKロールオーバーについてのご質問とそ
の回答」文書の公開を追加
2017/09/14 11:00 PDF資料の更新を反映
2017/09/15 11:00 新ZSKの事前公開時刻・新KSKで署名されたDNSKEY RRの公
開時刻を追加
2017/09/28 11:00 ICANNによる新KSKでの署名開始日の延期発表を反映
2017/09/29 11:00 ICANNによる新KSKでの署名開始日の延期発表に伴うPDF資
料・QAの更新を反映
ISC、SIDNの情報へのリンクを追加
2018/10/04 13:00 ICANNの新KSKでの署名開始日程発表を反映
2018/10/25 13:00 新KSKによる署名開始とその結果を反映
2019/01/16 13:00 旧KSK失効時のDNSKEY RRの応答サイズを修正
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.