DNS(Domain Name System)のルートゾーンの設定が、管理を行うICANN(The Internet Corporation for Assigned Names and Numbers)によって重要な更新が実施されます。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
今年の夏から来年の春にかけ、ICANN(The Internet Corporation for Assigned Names and Numbers)がルートゾーンに重要な更新を実施するようです。
さて、重要な更新とはいったい何が起きるのでしょうか?
KSKロールオーバーが行われる
以前、『DNSSECを使えるなら使うべき』という記事などにおいて『DNSSEC』というものに関して触れましたが、このDNSSECにおいてDNS応答の検証に使われるルートゾーン情報の電子署名鍵(KSK:Key Signing Key)が更新(ロールオーバー)される、これが今回行われる重要な更新ということです。
DNSのルートゾーンには、ルートゾーンのレコードに署名するZSK(Zone Signing Key)と、そのZSKに署名するKSKとがあり、ZSKは3ヶ月に一度更新されるようですが、KSKは今まで一度も更新されたことがなく、今回初めて更新されることになります。
(本来は5年に一度更新されることになっているようですが、今回は初めての更新のため、2年間の準備期間を設けていたようです。)
では、これによってどのような影響があるのでしょうか?
DNSSEC未使用でも影響を受ける
KSKロールオーバーによる影響は、前述のDNSSECを使っていなければ問題ないというわけではなく、DNSSECを使っていなくても影響を受ける可能性はあるようです。
これは、KSKロールオーバーによってDNS応答のパケットサイズが通常の倍以上になってしまう可能性があり、それによって名前解決ができなくなる、つまり、DNSSECの有無にかかわらず影響を受ける可能性があるということです。
名前解決ができなくなった場合はどうなるか?
当然、ウェブサイトは閲覧できない状態になります。
ただし、実際に影響を受けるのはDNSキャッシュサーバの運用者などになりますので、ホスティングでウェブサイトを公開しているだけの一般ユーザーは基本的には影響はないようですが、ホスティング会社なども現在対応を協議中としているところもあり、その対応がなされれば問題は発生しないということにはなります。
ご参考までに。
