ネット史上初めての「KSKロールオーバー」が始まる、名前解決できなくなる前にDNSサーバーなど設定確認を! 今年9月は特に注意
という記事を見つけたお客様が、不安に思い私の方に問い合わせをされました。
注意喚起として必要な情報なので、内容としてはOKなのですが。
記事の内容はどうしても専門性が高く難しい。。という事でその説明をなるべく分かりやすくかみ砕いて説明しました。
せっかくですので、その内容をご紹介したいと思います。
対応が必要な人達
1)DNSキャッシュサーバー(フルリゾルバー)の運用者
→例えばさくらインターネット等インターネットプロバイダーです。
2)権威DNSサーバーの運用者
→.jp や .com などドメインを管理している団体です。
3)顧客のネットワークを運用しているシステムインテグレーター
→富士通など大手ベンダーで、独自でネットワークを構築、運営しているところです。
https://www.nic.ad.jp/ja/topics/2017/20170531-02.html
こちら「JPNIC」によりますと、もう少し掘り下げて以下の人を対象者としております。
- ネットワーク機器の開発者
- ネットワーク機器の運用者
- DNSサーバ運用者
- DNSSECバリデーションを行うソフトウェアの開発者・ディストリビュータ
- DNSSECバリデーションを行うソフトウェアの保守担当者
- DNSSECバリデーションを行うリゾルバの運用者
いずれにしてもエンドの我々には関係の無い事です。
記事の要約
1.DNSサーバ(ドメインなどから通信先のIPアドレスを教えてくれるサービス)があります。
そこでは、セキュリティ対策のため通信を暗号化して行う仕組み「DNSSEC」があり、7年くらい前から運用されています。
2.暗号化のためには鍵が必要ですが、安全性担保のために定期的な鍵の交換を行う事になっています。
本来は5年に1度行う予定ですが、諸事情により延期され、今回初の更新となりました。
今回鍵の交換を行うのは、rootサーバと呼ばれている、全世界に14台しかないサーバです。全世界に影響を与えるものです。
※記事中の「KSK」は、鍵の事です
※記事中の「ロールオーバー」は「交換する」という意味です
3.鍵が変更されると、DNSサーバーへの問合せ1回で発生する通信量が多くなります。
※仕組み上そうなります
4.1回あたりの通信量が多くなると、rootサーバと通信する機器やネットワークが古い場合に、データを取りこぼす可能性がでてきます。
5.データを取りこぼすと、IPアドレスを知る事が出来ないため、通信が出来なくなります。
6.そうならないよう、事前にしっかりテストして問題があれば対策して下さい。
4.で通信を行っているのが、上記1) 2) 3) です。
馴染みのある例だと、プロバイダー契約の際に通知される「DNSサーバー」の事で、これは 1) のDNSキャッシュサーバー(フルリゾルバー)に相当します。
基本的にプロバイダーさんやベンダーさん任せの内容です。
我々エンドユーザーからすれば、せいぜいちゃんと対応できているよね?
と再確認をするくらいでしょうか。。
