---------------------------------------------------------------------
■ルートゾーンKSKロールオーバーについてのご質問とその回答
株式会社日本レジストリサービス(JPRS)
初版作成 2017/08/10(Thu)
最終更新 2019/01/16(Wed)
(旧KSK失効時のDNSKEY RRの応答サイズを修正)
---------------------------------------------------------------------
ルートゾーンKSKロールオーバーについて、JPRSの窓口に寄せられたご質問と、
その回答をまとめました。
▼質問1
今回のルートゾーンKSKロールオーバーにより、どのようなトラブルが起こ
りうるのか。
(類似の質問)
フルリゾルバーでDNSSEC検証をしていない場合も、影響を受けるのはなぜか。
▼回答1
フルリゾルバー(キャッシュDNSサーバー)でDNSSEC検証をしている場合、
以下のトラブルが発生する可能性があります。
・2017年9月19日以降、ルートサーバーからの大きなDNSKEY RR応答を受け取
れなくなることでDNSSEC検証に失敗し、名前解決に失敗する可能性があり
ます。
・新KSKによる署名開始の際、トラストアンカーが更新されていないことで
DNSSEC検証に失敗し、名前解決に失敗する可能性があります。
また、フルリゾルバーでDNSSEC検証をしていない場合であっても、そのフル
リゾルバーを参照するクライアントでDNSSEC検証をしている場合、そのクラ
イアントにおいて、前述した2件のトラブルが発生する可能性があります。
なお、大きなDNS応答を受け取れない状態であった場合の影響はルートゾー
ンに限らず、それ以外のゾーンからの応答においても同様です。そのため、
その応答を受け取れなかった場合に、そのリソースレコードに対する名前解
決ができなくなる可能性があります。
▼質問2
今回、JPRSがすべてのネットワーク管理者・フルリゾルバーの管理者を対象
として注意喚起をした理由は何か。
▼回答2
大きなDNS応答は今回のルートゾーンKSKロールオーバーに限って生じるもの
ではなく、その取り扱いはDNS運用における重要な項目の一つです。また、
JPRSでは回答1に記述したトラブルが発生する可能性は小さいと考えており
ますが、ルートゾーンの名前解決ができなくなった際の影響の大きさを鑑み、
各自のネットワークにおける状況の確認を呼びかけています。
▼質問3
家庭用ルーターも設定確認・対応の対象となるのか。
▼回答3
今回変更されるのはルートサーバーからフルリゾルバーへのDNS応答の部分
であり、フルリゾルバーからの応答を中継する一般的な家庭用ルーターは、
設定確認・対応の対象ではありません。
ただし、家庭内ネットワークに設置された機器でDNSSEC検証をしている場合
や、家庭内ネットワークにフルリゾルバーを設置・利用している場合には、
ネットワーク機器の一つとして、確認の対象となります。
▼質問4
JPRSのPDF資料「ルートゾーンKSKロールオーバーの概要と影響の確認方法」
には、DNS-OARCのDNS Reply Size Testについて「調査対象のフルリゾルバー
がIPv4/IPv6双方の通信に対応している場合、digコマンドを時間を置いて複
数回実行し、IPv4/IPv6双方の状況を確認しておくとよい」とあるが、具体
的にどのくらいの時間を置けばよいのか。
▼回答4
2017年8月7日の時点ではTTLが60に設定されているため、60秒経過した以降
に試すのがよいです。なお、このTTLはDNS-OARCが設定しているものであり、
変更される可能性があります。
▼質問5
自分の環境でJPRSのPDF資料にあるテストを試したところ、Verisign Labsの
DNSSEC KEY Size Testでは#1から#4までの項目が「PASS」と表示されたが、
DNS-OARCのDNS Reply Size Testでは「DNS reply size limit is at least
[1425より小さい値]」と出力された。問題はあるのか。
▼回答5
DNS-OARCのテストでは、UDPで大きなサイズの応答が得られるかを確認して
おり、一方のVerisign Labsのテストでは、トランポートプロトコルを問わ
ず、大きなサイズの応答が得られるかを確認しています。
Verisign Labs のテストで#1から#4までの結果がPASSと表示されていれば、
UDPに比べると遅延は発生するもののTCPにより応答を得られており、今回の
ルートゾーンKSKロールオーバーにつきましては、問題は発生しないと考え
られます。
ただし、DNS-OARCのテスト結果から、今回のルートゾーンKSKロールオーバー
に関わらずサイズの大きなUDP DNS応答を得られない可能性があることから、
テストされている環境を確認するとよいでしょう。
(2017年9月29日追加)
なお、BINDの開発元のISCが、DNS-OARCのDNS Reply Size TestはBIND 9.10
以降では正しく動作しない旨を発表しています。詳細につきましては、ISC
Knowledge Baseの以下の記事をご参照ください。
- How to verify a clean network path for DNS resolution by recursive
servers | Internet Systems Consortium Knowledge Base
<https://kb.isc.org/article/AA-00210/>
▼質問6
DNS-OARCのDNS Reply Size Testのdigコマンドの実行結果が"time out"にな
るのはなぜか。+shortを外して試してみると"time out"になっている。
▼回答6
DNS-OARCの提供するテスト用のサーバー側が原因と考えられます。時間を置
いて再度確認し、テスト結果が1425以上であれば、1425バイト以上のDNS応
答の受信は可能であると考えられます。
▼質問7
DNS-OARCのDNS Reply Size Testにおいて1度でも1425以上の値になっていれ
ば、自身のネットワーク環境およびフルリゾルバーに問題がないと考えてよ
いか。
(類似の質問)
DNS-OARCのDNS Reply Size Testでテストした結果が、タイミングによって
変わることがあるが、原因は何か。
▼回答7
DNS-OARCのテストの結果がタイミングによって変わる原因として、フルリゾ
ルバーと外部の権威DNSサーバーとの間にあるルーター、ファイアウォール
などの機器で、特定の条件・状態のもとでDNS応答を受け取れなくなるケー
スがあり得ます。そのため、テスト結果が一度OKであったとしても、そのこ
とのみでDNS応答全体を受け取れるとは断定できないと考えられます。
ただし、フルリゾルバーにおいて権威DNSサーバーからの応答が受け取れな
かった場合のクエリの再試行により、応答が得られる場合もあります。
なお、ネットワーク内で問題がないかを確認する具体的な調査と対応につい
ては、個別の環境によるところが大きいため、JPRSから個別回答することは
差し控えさせていただきます。
一般論としては、digコマンドによるテストの際に外部のパブリックDNSサー
ビスやISPのフルリゾルバーなどを指定してクエリを送る、組織内のフルリ
ゾルバーが反復検索を行っている間のパケットキャプチャを行うなど、問題
が発生している箇所の切り分けと絞り込みを行うことになるでしょう。
また、調査の結果、組織内ネットワークにおいて問題がなかった場合、利用
中のISPにおけるIPフラグメンテーションの有無についても確認しておくこ
とをお勧めいたします。
▼質問8
JPRSのPDF資料には、DNSKEYリソースレコードが変化する日付は記載されて
いるが、時刻はいつなのか。
▼回答8
(2017年9月15日追加)
Verisignから、新ZSKの事前公開時刻が発表されました。
- 2017年9月19日 14時頃(協定世界時)
(日本時間では2017年9月19日 23時頃)
<https://lists.dns-oarc.net/pipermail/dns-operations/2017-September/016723.html>
(2017年9月29日追加)
ICANNから、2017年10月11日に予定されていた新KSKでの署名開始を延期する
旨が発表されました。詳細につきましては、ICANNのアナウンスをご参照くだ
さい。
- KSK Rollover Postponed
<https://www.icann.org/news/announcement-2017-09-27-en>
なお、ICANNの問い合わせ窓口につきましては、回答11をご参照ください。
▼質問9
DNS応答サイズの確認は、クライアント <-> フルリゾルバーの間で必要なの
か、あるいは、フルリゾルバー <-> 権威DNSサーバーの間で必要なのか。
▼回答9
今回は、ルートサーバーからフルリゾルバーへのDNS応答が変更されるため、
フルリゾルバー <-> 権威DNSサーバー間での確認が必要になります。
また、そのフルリゾルバーを参照しているクライアントでDNSSEC検証をして
いる場合、それに加えてクライアント <-> フルリゾルバー間での確認も必
要になります。
▼質問10
JPRSのPDF資料の「DNS Reply Size Test Server」のdigコマンドのコマンド
ラインは、このまま実行すれば良いのか。
▼回答10
はい。コマンドラインは変更せずに実行します。
(dig +bufsize=4096 +short rs.dns-oarc.net txt)
(2017年9月29日追加)
なお、BINDの開発元のISCが、DNS-OARCのDNS Reply Size TestはBIND 9.10
以降では正しく動作しない旨を発表しています。詳細につきましては、ISC
Knowledge Baseの以下の記事をご参照ください。
- How to verify a clean network path for DNS resolution by recursive
servers | Internet Systems Consortium Knowledge Base
<https://kb.isc.org/article/AA-00210/>
▼質問11
ルートゾーンKSKロールオーバーに関する、ICANNの問い合わせ窓口を教えて
ほしい。
▼回答11
ICANNが公開しているWebページ
<https://www.icann.org/resources/pages/ksk-rollover#involved> の
"Ask a Question"に、問い合わせ先メールアドレスとメールの件名の指定が
あります。
▼質問12
(2017年9月29日追加)
新KSKによる署名開始が延期された理由は何か。
▼回答12
ICANNが2017年9月28日に、今回の延期の理由を発表しました。
- [dns-operations] Root KSK roll delayed
<https://lists.dns-oarc.net/pipermail/dns-operations/2017-September/016766.html>
概要は以下の通りです。
・RFC 8145で定義された方法で六つのルートサーバーのクエリを調査した結
果、全体の約5%のDNSSSECバリデーターが現KSK(KSK-2010)のみを保持し
ており、新KSK(KSK-2017)を保持していない(ロールオーバーの準備がで
きていない)ことが判明した。
・5%は無視できない数であるため、その理由を分析するとともに、今後、現
KSKのみを保持しているDNSSECバリデーターのIPアドレスを公開し、コミュ
ニティでの対応を促す予定である。
・そのための時間的猶予を確保するため、新KSKでの署名開始を延期した。
▼質問13
(2017年9月29日追加)
新KSKによる署名開始、及びそれ以降のスケジュールはいつ確定するのか。
▼回答13
(2017年12月20日更新)
ICANNが2017年12月18日(米国太平洋時間)に、今後の計画について発表しま
した。
Update on the Root KSK Rollover Project - ICANN
<https://www.icann.org/news/blog/update-on-the-root-ksk-rollover-project>
概要は以下の通りです。
・2018年1月15日から計画の草案を作成開始、2018年1月31日までに公開し、
パブリックコメントを実施
・ICANN61(2018年3月、サンフアン)で、本件を議論するためのセッション
を開催
・ICANN62(2018年6月、パナマシティ)までに、改訂版の計画を作成・
レビューし、パブリックコメントを実施後、最終計画を会議終了後に公開
(2018年2月5日追加)
ICANNが2018年2月1日(米国太平洋時間)、新KSKでの署名開始を2018年10月
11日とする計画の草案を公開しました。詳細につきましては、ICANNのアナウ
ンスをご参照ください。
Announcing Draft Plan For Continuing With The KSK Roll - ICANN
<https://www.icann.org/news/blog/announcing-draft-plan-for-continuing-with-the-ksk-roll>
KSKロールオーバーの草案に関する発表 - ICANN
<https://www.icann.org/news/blog/ksk-ja>
(2018年10月04日追加)
2018年9月16日にベルギーで開催されたICANN理事会において、ルートゾーン
KSKロールオーバーにおける新KSKでの署名開始の日程を、2018年10月11日午
後4時(協定世界時)とすることが決議されました。
詳細につきましては、ICANNのアナウンスをご参照ください。
News Release: Board Approval of KSK Roll - ICANN
<https://www.icann.org/resources/press-material/release-2018-09-18-en>
ニュースリリース:KSKのロール に関する理事会の承認 - ICANN
<https://www.icann.org/resources/press-material/release-2018-09-18-ja>
---------------------------------------------------------------------
▼更新履歴
2017/08/10 11:00 初版作成
2017/09/15 11:00 新ZSKの事前公開時刻・新KSKで署名されたDNSKEY RRの公
開時刻を追加
2017/09/29 11:00 ICANNによる新KSKでの署名開始日の延期発表を反映、
質問・回答の12・13を追加
2017/12/21 11:00 ICANNによるアップデート公開を反映
2018/02/05 11:00 ICANNによるアナウンス公開を反映
2018/10/04 13:00 ICANNの新KSKでの署名開始日程発表を反映
2019/01/16 13:00 旧KSK失効時のDNSKEY RRの応答サイズを修正
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.