DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■ルートゾーンKSKロールオーバーについてのご質問とその回答

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2017/08/10(Thu)
---------------------------------------------------------------------

ルートゾーンKSKロールオーバーについて、JPRSの窓口に寄せられたご質問と、
その回答をまとめました。

▼質問1

  今回のルートゾーンKSKロールオーバーにより、どのようなトラブルが起こ
  りうるのか。

  (類似の質問)
  フルリゾルバーでDNSSEC検証をしていない場合も、影響を受けるのはなぜか。

▼回答1

  フルリゾルバー(キャッシュDNSサーバー)でDNSSEC検証をしている場合、
  以下のトラブルが発生する可能性があります。

  ・2017年9月19日以降、ルートサーバーからの大きなDNSKEY RR応答を受け取
    れなくなることでDNSSEC検証に失敗し、名前解決に失敗する可能性があり
    ます。

  ・2017年10月11日以降、トラストアンカーが更新されていないことでDNSSEC
    検証に失敗し、名前解決に失敗する可能性があります。

  また、フルリゾルバーでDNSSEC検証をしていない場合であっても、そのフル
  リゾルバーを参照するクライアントでDNSSEC検証をしている場合、そのクラ
  イアントにおいて、前述した2件のトラブルが発生する可能性があります。

  なお、大きなDNS応答を受け取れない状態であった場合の影響はルートゾー
  ンに限らず、それ以外のゾーンからの応答においても同様です。そのため、
  その応答を受け取れなかった場合に、そのリソースレコードに対する名前解
  決ができなくなる可能性があります。

▼質問2

  今回、JPRSがすべてのネットワーク管理者・フルリゾルバーの管理者を対象
  として注意喚起をした理由は何か。

▼回答2

  大きなDNS応答は今回のルートゾーンKSKロールオーバーに限って生じるもの
  ではなく、その取り扱いはDNS運用における重要な項目の一つです。また、
  JPRSでは回答1に記述したトラブルが発生する可能性は小さいと考えており
  ますが、ルートゾーンの名前解決ができなくなった際の影響の大きさを鑑み、
  各自のネットワークにおける状況の確認を呼びかけています。

▼質問3

  家庭用ルーターも設定確認・対応の対象となるのか。

▼回答3

  今回変更されるのはルートサーバーからフルリゾルバーへのDNS応答の部分
  であり、フルリゾルバーからの応答を中継する一般的な家庭用ルーターは、
  設定確認・対応の対象ではありません。

  ただし、家庭内ネットワークに設置された機器でDNSSEC検証をしている場合
  や、家庭内ネットワークにフルリゾルバーを設置・利用している場合には、
  ネットワーク機器の一つとして、確認の対象となります。

▼質問4

  JPRSのPDF資料「ルートゾーンKSKロールオーバーの概要と影響の確認方法」
  には、DNS-OARCのDNS Reply Size Testについて「調査対象のフルリゾルバー
  がIPv4/IPv6双方の通信に対応している場合、digコマンドを時間を置いて複
  数回実行し、IPv4/IPv6双方の状況を確認しておくとよい」とあるが、具体
  的にどのくらいの時間を置けばよいのか。

▼回答4

  2017年8月7日の時点ではTTLが60に設定されているため、60秒経過した以降
  に試すのがよいです。なお、このTTLはDNS-OARCが設定しているものであり、
  変更される可能性があります。

▼質問5

  自分の環境でJPRSのPDF資料にあるテストを試したところ、Verisign Labsの
  DNSSEC KEY Size Testでは#1から#4までの項目が「PASS」と表示されたが、
  DNS-OARCのDNS Reply Size Testでは「DNS reply size limit is at least
  [1424より小さい値]」と出力された。問題はあるのか。

▼回答5

  DNS-OARCのテストでは、UDPで大きなサイズの応答が得られるかを確認して
  おり、一方のVerisign Labsのテストでは、トランポートプロトコルを問わ
  ず、大きなサイズの応答が得られるかを確認しています。

  Verisign Labs のテストで#1から#4までの結果がPASSと表示されていれば、
  UDPに比べると遅延は発生するもののTCPにより応答を得られており、今回の
  ルートゾーンKSKロールオーバーにつきましては、問題は発生しないと考え
  られます。

  ただし、DNS-OARCのテスト結果から、今回のルートゾーンKSKロールオーバー
  に関わらずサイズの大きなUDP DNS応答を得られない可能性があることから、
  テストされている環境を確認するとよいでしょう。

▼質問6

  DNS-OARCのDNS Reply Size Testのdigコマンドの実行結果が"time out"にな
  るのはなぜか。+shortを外して試してみると"time out"になっている。

▼回答6

  DNS-OARCの提供するテスト用のサーバー側が原因と考えられます。時間を置
  いて再度確認し、テスト結果が1424以上であれば、1424バイト以上のDNS応
  答の受信は可能であると考えられます。

▼質問7

  DNS-OARCのDNS Reply Size Testにおいて1度でも1424以上の値になっていれ
  ば、自身のネットワーク環境およびフルリゾルバーに問題がないと考えてよ
  いか。

  (類似の質問)
  DNS-OARCのDNS Reply Size Testでテストした結果が、タイミングによって
  変わることがあるが、原因は何か。

▼回答7

  DNS-OARCのテストの結果がタイミングによって変わる原因として、フルリゾ
  ルバーと外部の権威DNSサーバーとの間にあるルーター、ファイアウォール
  などの機器で、特定の条件・状態のもとでDNS応答を受け取れなくなるケー
  スがあり得ます。そのため、テスト結果が一度OKであったとしても、そのこ
  とのみでDNS応答全体を受け取れるとは断定できないと考えられます。

  ただし、フルリゾルバーにおいて権威DNSサーバーからの応答が受け取れな
  かった場合のクエリの再試行により、応答が得られる場合もあります。

  なお、ネットワーク内で問題がないかを確認する具体的な調査と対応につい
  ては、個別の環境によるところが大きいため、JPRSから個別回答することは
  差し控えさせていただきます。

  一般論としては、digコマンドによるテストの際に外部のパブリックDNSサー
  ビスやISPのフルリゾルバーなどを指定してクエリを送る、組織内のフルリ
  ゾルバーが反復検索を行っている間のパケットキャプチャを行うなど、問題
  が発生している箇所の切り分けと絞り込みを行うことになるでしょう。

  また、調査の結果、組織内ネットワークにおいて問題がなかった場合、利用
  中のISPにおけるIPフラグメンテーションの有無についても確認しておくこ
  とをお勧めいたします。

▼質問8

  JPRSのPDF資料には、DNSKEYリソースレコードが変化する日付は記載されて
  いるが、時刻はいつなのか。

▼回答8

  ルートゾーンKSKロールオーバーの実施時刻について、現時点においてICANN
  から公開されているのは日付のみであり、詳細な時刻は公開されておりませ
  ん。

  なお、ICANNの問い合わせ窓口につきましては、回答11をご参照ください。

▼質問9

  DNS応答サイズの確認は、クライアント <-> フルリゾルバーの間で必要なの
  か、あるいは、フルリゾルバー <-> 権威DNSサーバーの間で必要なのか。

▼回答9

  今回は、ルートサーバーからフルリゾルバーへのDNS応答が変更されるため、
  フルリゾルバー <-> 権威DNSサーバー間での確認が必要になります。

  また、そのフルリゾルバーを参照しているクライアントでDNSSEC検証をして
  いる場合、それに加えてクライアント <-> フルリゾルバー間での確認も必
  要になります。

▼質問10

  JPRSのPDF資料の「DNS Reply Size Test Server」のdigコマンドのコマンド
  ラインは、このまま実行すれば良いのか。

▼回答10

  はい。コマンドラインは変更せずに実行します。
  (dig +bufsize=4096 +short rs.dns-oarc.net txt)

▼質問11

  ルートゾーンKSKロールオーバーに関する、ICANNの問い合わせ窓口を教えて
  ほしい。

▼回答11

  ICANNが公開しているWebページ
    <https://www.icann.org/resources/pages/ksk-rollover#involved> の
  "Ask a Question"に、問い合わせ先メールアドレスとメールの件名の指定が
  あります。

---------------------------------------------------------------------
▼更新履歴
  2017/08/10 11:00 初版作成

株式会社日本レジストリサービス Copyright©2001-2017 Japan Registry Services Co., Ltd.