スタッフブログ

DNSを運用している方への注意

2017年08月25日

2017年9月19日以降に一部のDNS応答のサイズ増大により
インターネット利用に影響が出る恐れがあります。

現在、ICANNにより進められている、 ルートゾーンKSKロールオーバー(鍵署名鍵の更新)に伴い、 2017年9月19日(火)に一部のDNS応答のサイズが増大する作業が予定されています。 これにより、利用環境によってはIPフラグメンテーション(データ量の増大)が発生し、 インターネットの利用に遅延や接続できないなどの障害が起こる可能性があります。 そのため、ご自身が運用されている環境についてご確認いただき、 DNS応答のサイズ増大に備える必要があります。
KSKロールオーバーの概要や、 本件に伴う影響やその対応についての特設Webページを、 本日付でより詳しく更新いたしました。 これを参考に、ぜひご自身が管理するDNS、ネットワークの再確認を行ってください。

KSKロールオーバーについて
https://www.nic.ad.jp/ja/dns/ksk-rollover/ (外部リンク:JPNIC)
サーバ側でDNSSEC検証を有効にしている場合はもちろん、 無効にしていてもクライアント側がDNSSECに関する問い合わせをしてくるケースなど、 状況によっては本件の影響を受ける可能性があります。 その他、明示的にDNSSEC検証を有効にしていなくても、 デフォルトで有効になっている場合もあります。

更新作業を進めているICANNは、 インターネットユーザーの4人に1人に影響が及ぶ可能性を示唆しており、 日本国内でも総務省をはじめ、各所から注意喚起がなされています。

JPNICはこれまでも本件に関する情報提供を行ってまいりましたが、 内容について数多くのお問い合わせいただいていることから、FAQも含めて、 本解説ページを更新いたしました。

ご自身が運用されている環境に直接問題が出なくても、 本件の影響を受けたユーザーなどからの問い合わせの増加なども考えられます。 みなさまぜひこちらのページをご覧になった上でご確認いただきますよう、 お願いいたします。

この事でどんな問題が起きるのか?

ルートゾーンに含まれる鍵(KSK)が新しくなります(トラストアンカーの更新)。
一部のDNS応答のサイズ(DNSKEYの応答)が一時的に大きくなります(DNS応答サイズ増大への対応)。
大きくなったDNS応答を正しく受け取れない場合、 DNSSECに関わる通信に悪影響が出る可能性があります。 その結果、インターネットの利用に問題が発生します。

対応しなければならないサービス
・BIND9.6以前(対策必要)
BIND9.7系以降にする(推奨は9.9系:機能的に問題がないのならばESVである9.9系へ)
OpenSSLでもECDSAでの署名も進むと考えられるので考慮した対策が必要。
・Windows Server DNS(対策不要)
Windows Server 2012以降がインストールされているのであれば設定や変更の必要はなし。
結論として、Windows OS の DNS サーバーにおいては DNSSEC の構成の有無に関わらずルート ゾーン KSK の更新に伴う対策は不要です。

ご参考までに・・・

ホームページ制作・システムプログラム開発・サーバー構築は 株式会社ドリームズカンパニー
Copyright(c) 2006-2016 dreams company corporation All Rights Reserved.