昨年の6月、『DNSのルートゾーン更新の影響』という記事にて『DNSSECにおいてDNS応答の検証に使われるルートゾーン情報の電子署名鍵(KSK:Key Signing Key)が更新(ロールオーバー)される』ということをお伝えしました。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
昨日、米国のあるドメインレジストラ(指定事業者)からメールが届きました。
それによると、以前から延期となっていた『ルートゾーン情報の電子署名鍵(KSK:Key Signing Key)の更新(ロールオーバー)』が承認されたとなっています。
ICANNのロールオーバー承認による影響
今年の夏の時点では2018年10月11日の実施を予定していることにはなっていたものの、それはICANN(The Internet Corporation for Assigned Names and Numbers)理事会の承認待ちという状態でした。
しかし、レジストラからのメールによるとそれが最近承認されたとなっており、予定通り今月11日にKSKのロールオーバーが実施されることになります。
これによって影響を受けるのは、基本的には『DNSSEC(Domain Name System Security Extensions)』が有効になっているドメインに限りますが、以前の記事にも書いた通り、KSKロールオーバーによってDNS応答のパケットサイズが通常の倍以上になってしまった場合、ホスティング会社においてDNSキャッシュサーバへの対応がなされていなければDNSSECが有効になっていなくても影響を受ける可能性があります。
つまり、その場合は名前解決ができなくなり、ウェブサイトが閲覧できない状態になる可能性を秘めています。
行える対応策としては、
1.DNSSECが有効になっている場合、それを一度無効にする。それでも解決しない場合はISP(インターネットサービスプロバイダ)から新しい鍵を取得し、レジストラ側の更新を行う。
2.DNSSECが無効になっている場合、前述の通りホスティング会社のDNSキャッシュサーバへの対応によると思われますので、契約のホスティング会社に問い合わせてみることになります。
来週は自社(自店)運営サイトなどに注意です。
