| CARVIEW |
Select Language
HTTP/1.1 200 OK
Date: Mon, 14 Jul 2025 07:11:11 GMT
Content-Length: 5059
Content-Type: text/html
Strict-Transport-Security: max-age=2592000
ルートゾーンにおけるDNSSECの正式運用開始に伴う影響について
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.
---------------------------------------------------------------------
■ルートゾーンにおけるDNSSECの正式運用開始に伴う影響について
2010/07/15(Thu)
---------------------------------------------------------------------
2010年7月16日の午前4時30分から8時30分(日本標準時において。協定世界時
においては7月15日の19時30分から23時30分)にかけて、ルートゾーンにおい
てDNSSECの正式運用が開始されます。
本文書では、今回ルートサーバにおいて実施される変更の概要、及び既存の
DNSに与える影響について解説します。
▼変更の概要
今回の変更により、これまでDURZ(*1)として設定されていたダミーの署名デー
タが、正式の署名データに変更されます。これにより、IANAが公開するルート
ゾーンのトラストアンカー(公開鍵)をキャッシュDNSサーバに設定することで、
ルートゾーンのDNSSEC検証を有効にできるようになります。
(*1)DURZ: Deliberately Unvalidatable Root Zone
「故意に検証不可能にしたルートゾーン」を示します。
▼既存のDNSに与える影響
ICANNでは既存のDNSに対する影響を最小限に留めるため、ルートゾーンへの
DNSSEC導入を慎重に進めてきました。DNS応答サイズの増大が既存のDNSに影響
を与えないことを検証するため、2010年1月から2010年5月にかけ、13あるルー
トサーバに対しDURZの導入が段階的に実施され、それに並行してDNS-OARCをは
じめとする専門家による調査と検証が実施・継続されてきました。現時点にお
いてDURZの導入完了後2カ月以上が経過しておりますが、DNSSEC導入の妨げと
なる、致命的な問題は報告されておりません。
前述の通り、今回の変更によりルートゾーンのDURZが正式の署名データに変更
されます。しかし、キャッシュDNSサーバにおいてDNSSEC検証を有効にするた
めには、同時に公開されるルートゾーンのトラストアンカーを入手し、それぞ
れのキャッシュDNSサーバに設定する必要があります。
すなわち、ルートゾーンのトラストアンカーをキャッシュDNSサーバに明示的
に設定しない限り、DURZが正式の署名データに変更されても、それだけでは
DNSSEC検証は有効にはなりません。そのため、現時点において問題なくDNSが
使用できている場合、今回の変更による影響はないものと考えられています。
▼備考
ルートゾーンへのDNSSEC導入の確認後、キャッシュサーバでDNSSECの検証を
行うための設定方法などの情報をご提供する予定です。
▼参考資料
ルートゾーンへのDNSSECの導入と展開
~DNSSECの世界的普及に向けた大きな一歩~
https://jpinfo.jp/event/2009/1216DNSSEC.html
DNSSECの導入状況とDNSSEC運用ガイドラインの改良に向けた取り組み
~第77回IETF Meetingにおける話題から~
https://jpinfo.jp/event/2010/0423IETF.html
---------------------------------------------------------------------
株式会社日本レジストリサービス Copyright©2001-2025 Japan Registry Services Co., Ltd.