ルートゾーンKSKロールオーバーによる影響について

ヤマハ RTシリーズに関連する話題

ルートゾーン KSK ロールオーバーによる影響について

最終変更日	2022/Apr/04
文書サイズ	5,547B

2016年10月から2018年3月にかけてルートゾーン KSK ロールオーバーが実施されますが、ヤマハネットワーク機器やネットボランチ DNS サービスは DNSSEC に対応しておらず、これに伴う設定変更などの対策は必要ありません。詳細は以下の通りです。

ルートゾーン KSK ロールオーバー

KSK とは、DNSSEC という DNS の拡張プロトコルで利用される電子署名鍵のことで、DNSSEC ではこの鍵情報を基に DNS 応答の正当性を検証できるようになっています。
このたび2016年10月から2018年3月にかけて、DNS ルートゾーンにおいてこの鍵情報の更新(ロールオーバー)が行われます。これをルートゾーン KSK ロールオーバーと呼びますが、この更新は段階的に行われ、途中のステップでは新旧の鍵情報が同時に使用される状態になります。この影響により一般的に以下のような問題が発生することが懸念されています。

鍵情報の更新に追従できず、正しく DNSSEC による検証が行えなくなる
更新の途中段階では DNS 応答のパケットサイズが増えるため、IP フラグメントが発生して正しく DNS 応答を処理できなくなる

特に DNS 応答のパケットのサイズ増については、今回更新される鍵情報を用いて実際に検証を行っているか否かに関わらず、DNSSEC を有効にして名前解決を行っている環境すべてに影響する可能性があります。

ヤマハネットワーク機器における影響

ヤマハルーター/ファイアウォールは DNS リカーシブサーバー機能を備えていますが、DNSSEC には対応しておりません。すなわちルートゾーン KSK ロールオーバーの実施の有無に関わらず、DNSSEC を使用した検証や名前解決を行うことはできません。このためルートゾーン KSK ロールオーバーの影響はなく、これに伴うルーターの設定変更などの対策を行う必要はありません。
ヤマハ無線AP/スイッチやネットボランチ DNS サービスも同様に DNSSEC には対応しておらず、これらを使用する上で対策を行う必要はありません。

なお、もし DNSSEC を使用した名前解決を行いたい場合は、ヤマハルーター/ファイアウォールを DNS リカーシブサーバーとして経由させず、DNSSEC に対応した DNS サーバーに直接問い合わせを行うようお使いの DNS クライアントの設定を行ってください。

参考文献

ICANN：ルートゾーンKSKのロールオーバー
総務省：DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性
日本ネットワークインフォメーションセンター：KSKロールオーバーについて

更新履歴

2018/11/06 新規作成
2022/04/04 文章を推敲した

[ FAQ for RT-Series ]
[ FAQ for TOPIC ]