---------------------------------------------------------------------
■DNS flag dayについてのご質問とその回答
株式会社日本レジストリサービス(JPRS)
初版作成 2019/01/21(Mon)
最終更新 2019/01/28(Mon)
(回答14を修正、質問・回答15を追加し以降をリナンバー)
---------------------------------------------------------------------
DNS flag dayについてのご質問と、その回答をまとめました。
▼質問1
「DNS flag day」とは何か。
▼回答1
EDNS0を有効にしたDNSの問い合わせの応答が得られなかった場合に実行され
る「ワークアラウンド処理」が、日付を決めた上で主要なDNSソフトウェアか
ら削除されるイベントのことです。
▼質問2
「EDNS0」とは何か。
▼回答2
RFC 6891で定義されるDNSの拡張方式で、512バイトを超える大きなサイズの
DNSメッセージを通信コストの低いUDPで扱えるようにし、機能拡張に必要な
フラグや応答コードを追加します。
詳細は、JPRS用語辞典の以下の項目をご参照ください。
JPRS用語辞典|EDNS0(イーディエヌエスゼロ)
<https://jprs.jp/glossary/index.php?ID=0147>
▼質問3
「ワークアラウンド処理」とは何か。
▼回答3
今回のDNS flag dayでは、EDNS0を有効にしたDNSの問い合わせの応答が得ら
れなかった場合に、EDNS0を無効にして再問い合わせする処理を「ワークアラ
ウンド処理」と呼んでいます。
▼質問4
DNS flag dayが行われる理由は何か。
▼回答4
DNS flag dayの実施に至った背景/理由として、以下の二つが挙げられます。
1)バグや脆弱性の要因・パフォーマンスの低下につながるワークアラウン
ド処理を減らすことで、DNSの安定性と効率向上を図る
2)EDNS0対応を進めることで、DNSの新機能の導入・機能拡張の推進を図る
▼質問5
EDNS0は、十分に普及しているのか。
▼回答5
EDNS0はRFC 2671として1999年に標準化され、2013年に発行されたRFC 6891
で、インターネット標準の一つになりました。
BINDは2000年にリリースされたBIND 9.0.0から、EDNS0を標準サポートしてい
ます。また、現在運用されているBIND以外の主要なDNSソフトウェア/パブリッ
クDNSサービスも、EDNS0を標準サポートしています。
▼質問6
DNS flag dayへの参加・支持を表明しているソフトウェア・サービスを教え
てほしい。
▼回答6
2019年1月21日現在、以下のDNSソフトウェアベンダーとパブリックDNSサービ
ス事業者が、DNS flag dayへの参加・支持を表明しています。
・DNSソフトウェアベンダー(DNSソフトウェア名)
- CZ.NIC(Knot DNS/Knot Resolver)
- Internet Systems Consortium(BIND)
- NLnet Labs(NSD/Unbound)
- PowerDNS.COM(PowerDNS Authoritative Server/PowerDNS Recursor)
・パブリックDNSサービス事業者(パブリックDNSサービス名)
- Cisco Systems(OpenDNS)
- Cleanbrowsing(Cleanbrowsing DNS)
- Cloudflare/APNIC(1.1.1.1)
- Google(Google Public DNS)
▼質問7
ワークアラウンド処理が削除されるDNSソフトウェアの、種類・バージョンを
教えてほしい。
▼回答7
DNS flag dayの公式サイトで、対象となるDNSソフトウェアの種類・バージョ
ンが公開されています。2019年1月21日現在の情報を以下に引用します。
・BIND 9.13.3(開発版)、9.14.0(製品版)
・PowerDNS Recursor 4.2.0
・Unbound 1.9.0
なお、Knot Resolverの現バージョンは、削除対象のワークアラウンド処理を
実装していません。
▼質問8
DNS flag dayにより、どのようなトラブルの発生が考えられるか。
▼回答8
各組織の権威DNSサーバーやネットワーク機器がEDNS0に適切に対応している
場合、DNS flag dayに伴うトラブルは発生しません
もし、各組織の権威DNSサーバーやその権威DNSサーバーとの通信途中で経由
するネットワーク機器がEDNS0に対応しておらず、EDNS0での問い合わせに応
答を返さない状態になっている場合、その権威DNSサーバーが管理するドメイ
ン名の名前解決エラーや名前解決の遅延が発生する可能性があります。
その結果、Webサイトや電子メールなど、そのドメイン名で提供されている
サービスに影響が出る可能性があります。
▼質問9
主要なDNSソフトウェアから、ワークアラウンド処理が削除されるのはいつか。
▼回答9
2019年2月1日以降にリリースされるDNSソフトウェアが、ワークアラウンド処
理の削除対象になると発表されています。
▼質問10
今、自分の組織で動いている権威DNSサーバーやフルリゾルバー(キャッシュ
DNSサーバー)の動作が、2019年2月1日に変更されるということか。
▼回答10
DNS flag dayによる動作変更の対象は、2019年2月1日以降にリリースされる
DNSソフトウェアとなります。DNS flag dayに対応したバージョンにDNSソフ
トウェアを更新するまで、各組織で動作中の権威DNSサーバーやフルリゾル
バーの動作が変更されることはありません。
▼質問11
トラブルが発生する可能性があるのは、2019年2月1日の、1日のみか。
▼回答11
DNS flag dayによるトラブルが発生する可能性があるのは、以下の二つの条
件を満たしている場合となります。
1)ワークアラウンド処理が削除されたDNSソフトウェアに、フルリゾルバー
を更新している
2)そのフルリゾルバーで、EDNS0での問い合わせに応答を返さない状態に
なっている権威DNSサーバーやネットワーク機器へのアクセスを試みて
いる
そのため、トラブルが発生する可能性があるのは、ワークアラウンド処理が
削除されたバージョンにフルリゾルバーを更新後、EDNS0での問い合わせに
応答を返さない状態になっている権威DNSサーバーが管理するドメイン名を
名前解決しようとしたタイミングとなります。
▼質問12
自分のドメイン名が、DNS flag dayの影響を受けるかを確認したい。
▼回答12
DNS flag dayの公式サイトで、指定したドメイン名の対応状況を確認できま
す。確認方法については、JPRSで公開しているPDF資料をご参照ください。
DNS flag dayの概要・影響と対応状況の確認方法
<https://jprs.jp/tech/notice/2019-01-21-dns-flag-day.pdf>
▼質問13
DNS flag dayの公式サイトでドメイン名を確認した結果、黄色の「!」アイ
コンが表示された。対応作業をしなければいけないか。
▼回答13
黄色の「!」アイコンは、DNS flag dayの影響を受けないとされています
(DNS flag dayの影響を受けないが、最新のDNS標準をサポートしていない)。
なお、マネージドDNSプロバイダーなど、DNSの運用に外部のサービスを利用
している場合、それぞれのサービスの提供元にご確認ください。
▼質問14
DNS flag dayの公式サイトでドメイン名を確認した結果、赤色の「SLOW」ア
イコンが表示された。対応作業をしなければいけないか。
▼回答14
(2019年1月28日更新)
赤色の「SLOW」アイコンが表示された場合、DNS flag dayの影響で遅延が発
生する可能性があります。そのドメイン名を管理する権威DNSサーバーや、
権威DNSサーバーとの通信途中で経由するネットワーク機器において、確認・
対応作業が必要になります。
なお、マネージドDNSプロバイダーなど、DNSの運用に外部のサービスを利用
している場合、それぞれのサービスの提供元にご確認ください。
▼質問15
(2019年1月28日追加)
DNS flag dayの公式サイトでドメイン名を確認した結果、赤色の「STOP」ア
イコンが表示された。対応作業をしなければいけないか。
▼回答15
赤色の「STOP」アイコンが表示された場合、DNS flag dayの影響で名前解決
エラーが発生する可能性があります。そのドメイン名を管理する権威DNSサー
バーや、権威DNSサーバーとの通信途中で経由するネットワーク機器において、
確認・対応作業が必要になります。
なお、マネージドDNSプロバイダーなど、DNSの運用に外部のサービスを利用
している場合、それぞれのサービスの提供元にご確認ください。
▼質問16
外部から、自分が運用しているドメイン名がDNS flag dayの影響を受けるた
め、対応してほしいという依頼があった。どう確認・対応すればいいのか。
▼回答16
自分が運用しているドメイン名の権威DNSサーバーがEDNS0を有効にした問い
合わせに応答を返さない状態になっている場合、適切な応答を返すようにす
るための対応作業が必要になります。自分のドメイン名の状況の確認方法に
ついては、質問12を参照してください。
DNS flag dayの影響を受けないようにするには、権威DNSサーバーとその通信
途中のネットワーク機器が、EDNS0に対応する必要があります。ネットワーク
機器では、EDNS0を有効にした問い合わせ/応答を適切に中継する必要があり
ます。
▼質問17
私は一般ユーザーである。DNS flag dayについて、何か気をつけることがあ
るか。
▼回答17
2019年2月1日以降に、それまでアクセスできていた特定のWebサイトにアクセ
スできなくなったり、アクセスに時間がかかったりした場合、DNS flag day
の影響である可能性があります。
ただし、Webサイトにアクセスができなくなったりアクセスに時間がかかった
りする原因はさまざまです。そのため、まずは通常のエラーと同じように、
各組織のシステム管理者や、利用しているISPの窓口などに相談するようにし
てください。
▼質問18
今回、JPRSがDNS flag dayについて情報を発信した理由は何か。
▼回答18
DNS flag dayは、主要なDNSソフトウェアベンダーやパブリックDNSサービス
が参加する、世界的なイベントとなっています。また、動作変更の対象とな
るEDNS0はDNSのさまざまな拡張機能に使われており、DNSSECやDNSのIPv6対応
においてサポートが必須となっている、重要なプロトコルです。
こうした背景から、JPRSではDNS全体の安定性向上のため、DNS flag dayの概
要・影響と、各組織における確認方法に関する情報を提供しています。
▼質問19
家庭用ルーターも、設定確認・対応の対象となるのか。
▼回答19
今回変更されるのはフルリゾルバーから権威DNSサーバーへの問い合わせに関
する動作であり、フルリゾルバーに問い合わせを転送する一般的な家庭用ルー
ターは、設定確認・対応の対象ではありません。
▼質問20
DNS flag dayに関する、問い合わせ先を教えてほしい。
▼回答20
DNS flag dayの公式サイトで、技術的な問い合わせを受け付けています。
<https://dnsflagday.net/#contacts>の"Contacts"に、Githubリポジトリの
指定があります。また、当該リポジトリでは、寄せられた質問やコメントが
管理・公開されています。
▼質問21
フルリゾルバーで、DNS flag day後も引き続きワークアラウンド処理を使い
続ける方法はないか。
▼回答21
DNS flag dayによりワークアラウンドが削除された個々のDNSソフトウェアに
おいて、引き続きワークアラウンド処理を使い続ける方法は、確認できてお
りません。
なお、ソフトウェアを適切に更新してシステムを最新の状態に保つことは、
セキュリティレベルの維持やシステムの安定運用における必須項目です。
そのため、DNS flag dayの影響を回避するために古いバージョンのDNSソフト
ウェアを使い続けることは、セキュリティやシステム運用における大きなリ
スクとなるため、推奨されません。
▼質問22
スマートフォンやパソコンでDNS over TLSやDNS over HTTPS(DoH)を利用す
る設定にしていても、DNS flag dayの影響を受けるか。
▼回答22
DNS over TLSやDNS over HTTPSは、スタブリゾルバー(DNSクライアント)と
フルリゾルバー間の通信を保護するためのプロトコルであり、フルリゾルバー
と権威DNSサーバーの間の通信には影響を及ぼしません。
そのため、DNS over TLSやDNS over HTTPSを用いている場合も、DNS flag
dayの影響を受ける可能性があります。
▼質問23
なぜネットワーク機器も、対応作業が必要になる可能性があるのか。
▼回答23
通信途中のネットワーク機器がEDNS0の問い合わせ/応答を適切に中継しな
いことで、権威DNSサーバーからの応答が得られなくなる場合があります。
該当する機器の例として、EDNS0のパケットを誤ってドロップしてしまう場合
や、IPフラグメンテーションにより断片化されたパケットの処理が適切でな
い場合などが挙げられます。
---------------------------------------------------------------------
▼更新履歴
2019/01/21 11:00 初版作成
2019/01/28 11:00 回答14を修正、質問・回答15を追加し以降をリナンバー
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.