皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、米国のあるドメインレジストラ（指定事業者）からメールが届きました。

それによると、以前から延期となっていた『ルートゾーン情報の電子署名鍵（KSK：Key Signing Key）の更新（ロールオーバー）』が承認されたとなっています。

ICANNのロールオーバー承認による影響

今年の夏の時点では2018年10月11日の実施を予定していることにはなっていたものの、それはICANN（The Internet Corporation for Assigned Names and Numbers）理事会の承認待ちという状態でした。

しかし、レジストラからのメールによるとそれが最近承認されたとなっており、予定通り今月11日にKSKのロールオーバーが実施されることになります。

これによって影響を受けるのは、基本的には『DNSSEC（Domain Name System Security Extensions）』が有効になっているドメインに限りますが、以前の記事にも書いた通り、KSKロールオーバーによってDNS応答のパケットサイズが通常の倍以上になってしまった場合、ホスティング会社においてDNSキャッシュサーバへの対応がなされていなければDNSSECが有効になっていなくても影響を受ける可能性があります。

つまり、その場合は名前解決ができなくなり、ウェブサイトが閲覧できない状態になる可能性を秘めています。

行える対応策としては、

１．DNSSECが有効になっている場合、それを一度無効にする。それでも解決しない場合はISP（インターネットサービスプロバイダ）から新しい鍵を取得し、レジストラ側の更新を行う。

２．DNSSECが無効になっている場合、前述の通りホスティング会社のDNSキャッシュサーバへの対応によると思われますので、契約のホスティング会社に問い合わせてみることになります。

来週は自社（自店）運営サイトなどに注意です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年の夏から来年の春にかけ、ICANN（The Internet Corporation for Assigned Names and Numbers）がルートゾーンに重要な更新を実施するようです。

さて、重要な更新とはいったい何が起きるのでしょうか？

KSKロールオーバーが行われる

以前、『DNSSECを使えるなら使うべき』という記事などにおいて『DNSSEC』というものに関して触れましたが、このDNSSECにおいてDNS応答の検証に使われるルートゾーン情報の電子署名鍵（KSK：Key Signing Key）が更新（ロールオーバー）される、これが今回行われる重要な更新ということです。

DNSのルートゾーンには、ルートゾーンのレコードに署名するZSK（Zone Signing Key）と、そのZSKに署名するKSKとがあり、ZSKは3ヶ月に一度更新されるようですが、KSKは今まで一度も更新されたことがなく、今回初めて更新されることになります。

（本来は5年に一度更新されることになっているようですが、今回は初めての更新のため、2年間の準備期間を設けていたようです。）

では、これによってどのような影響があるのでしょうか？

DNSSEC未使用でも影響を受ける

KSKロールオーバーによる影響は、前述のDNSSECを使っていなければ問題ないというわけではなく、DNSSECを使っていなくても影響を受ける可能性はあるようです。

これは、KSKロールオーバーによってDNS応答のパケットサイズが通常の倍以上になってしまう可能性があり、それによって名前解決ができなくなる、つまり、DNSSECの有無にかかわらず影響を受ける可能性があるということです。

名前解決ができなくなった場合はどうなるか？

当然、ウェブサイトは閲覧できない状態になります。

ただし、実際に影響を受けるのはDNSキャッシュサーバの運用者などになりますので、ホスティングでウェブサイトを公開しているだけの一般ユーザーは基本的には影響はないようですが、ホスティング会社なども現在対応を協議中としているところもあり、その対応がなされれば問題は発生しないということにはなります。

ご参考までに。

しかし、注意しなければいけないこともあります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

最近では、WordPressなどのCMSをレンタルサーバ側にて用意してくれているところも多くあります。

また、それらの管理画面へのログインに対して『海外からのログインを制限する』といったボタンを用意してくれているところもあります。

しかし、これに関しては注意しなければいけないこともあります。

海外からのログインを制限する上での注意

WordPressなどのCMSで作られたウェブサイトが攻撃を受ける場合、多くは海外からのものにはなります。

それを回避するために海外からの管理画面へのログインを制限してしまうことを行うわけですが、海外のキャッシュサーバ、CDNなどを使っている場合においては注意が必要です。

例えば、レンタルサーバ側に海外からのログインを制限する項目があったとして、それを有効にしているとします。

この場合、多くはwp-login.phpと/wp-admin/に対して制限がかかるわけですが、前述のように海外のCDNなどを使っていた場合においては問題が起きるケースがあります。

ユーザー名、パスワード、（認証コード）を入れてログインボタンを押した際、wp-login.phpのGET POST処理が走り、この時に問題は起きます。

403エラーとなってしまうことがあるのです。

通常、海外のCDNなどを使っていて、そのIPアドレスが海外のものであったとしても物理的な場所は日本であったりもします。

しかし、これがローテーションで物理的な場所が日本以外のIPアドレスとなった場合、403エラーになるわけです。

403エラーに対する対処法

この場合、一番手っ取り早いのは海外からの管理画面へのログイン制限をオフにすることですが、どうにもすべてを可能な状態にしておくのも少々不安であるとも思えます。

ではどうするか？

.htaccessなどにwp-login.phpファイルにおけるGET POST処理を制限する記述を加えます。

<Limit GET POST>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
allow from xxx.xxx.xxx.xxx
</Limit>

allow from xxx.xxx.xxxの部分はCDNなどにて使われるIPアドレスをすべて記述していきます。

これでCDNなどの物理的なIPアドレスが海外であったとしても問題なく、それ以外のIPアドレスからは制限されることになります。

そしてもう1つ、一番簡単な方法としては記事を投稿するなど管理画面にログインしなければいけない時だけ海外からの管理画面へのログイン制限をオフにし、作業が終わったらオンに戻すといったことであればもっとシンプルではあります。

ただし、この方法はオンに戻すことを忘れてしまった場合のリスクはありますので注意が必要です。