ヤマハ RTシリーズに関連する話題


ルートゾーン KSK ロールオーバーによる影響について


最終変更日 2018/Nov/06
文書サイズ 5,583B

2016年10月から2018年3月にかけてルートゾーン KSK ロールオーバーが実施されますが、ヤマハネットワーク機器やネットボランチ DNS サービスは DNSSEC に対応しておらず、これに伴う設定変更などの対策は必要ありません。 詳細は以下の通りです。

ルートゾーン KSK ロールオーバー

KSK とは、DNSSEC という DNS の拡張プロトコルで利用される電子署名鍵のことで、DNSSEC ではこの鍵情報を基に DNS 応答の正当性を検証できるようになっています。
このたび2016年10月から2018年3月にかけて、DNS ルートゾーンにおいてこの鍵情報の更新(ロールオーバー)が行われます。 これをルートゾーン KSK ロールオーバーと呼びますが、この更新は段階的に行われ、途中のステップでは新旧の鍵情報が同時に使用される状態になります。 この影響により一般的に以下のような問題が発生することが懸念されています。

特に DNS 応答のパケットのサイズ増については、今回更新される鍵情報を用いて実際に検証を行っているか否かに関わらず、DNSSEC を有効にして名前解決を行っている環境すべてに影響する可能性があります。

ヤマハネットワーク機器における影響

ヤマハルーター/ファイアウォールは DNS リカーシブサーバー機能を備えていますが、DNSSEC およびそのために使用される EDNS0 には対応しておらず、 EDNS0 による DNS リクエストを受けた場合はエラーを返します。 すなわちルートゾーン KSK ロールオーバーの実施の有無に関わらず、DNSSEC を使用した検証や名前解決を行うことはできません。 このためルートゾーン KSK ロールオーバーの影響はなく、これに伴うルーターの設定変更などの対策を行う必要はありません。
ヤマハ無線AP/スイッチやネットボランチ DNS サービスも同様に DNSSEC には対応しておらず、これらを使用する上で対策を行う必要はありません。

なお、もし DNSSEC を使用した名前解決を行いたい場合は、ヤマハルーター/ファイアウォールを DNS リカーシブサーバーとして経由させず、DNSSEC や EDNS0 に対応した DNS サーバーに直接問い合わせを行うようお使いの DNS クライアントの設定を行ってください。

参考文献


[ FAQ for RT-Series ]
[ FAQ for TOPIC ]