es

ルートゾーンの鍵署名鍵(KSK)ロールオーバーによるユーザーへの影響は最小限となると予測される

18 de julio de 2018
Por Matt LarsonMatt Larson

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

ICANN組織は、2018年10月11日に予定されているグローバルドメインネームシステム(DNS)に対するDNSSEC(ドメイン名システムのセキュリティ拡張)トラストアンカーの更新は、非常に少数のDNSユーザーにしか影響しないと考えています。ルートゾーンの鍵署名鍵(KSK)のロールオーバーは、膨大なアウトリーチ活動と利用可能なすべてのデータを慎重に検討した後に決定されました。

DNSルートゾーンは元々2010年に署名されており、DNSSEC 慣行とポリシー声明1では、ルートゾーンKSKを変更することが要求されていました。幸い、新しいルートゾーンKSKを遵守する多くの検証リゾルバは、RFC50112で定義されている「DNSSEC (DNS セキュリティ) トラストアンカーの自動更新」を自動的に使用して、新しいトラストアンカーとして、新しいルートゾーンKSKを構成できる必要があります。リゾルバオペレータは、ICANNのさまざまなアウトリーチ活動に基づいてルートKSKが変更されることを認識した場合、トラストアンカーの構成を手動で更新することもできます。

検証リゾルバがトラストアンカーセットを正しく構成していることを積極的に測定するための標準または正規の方法はありません。現在利用可能な最良の方法は、2017年4月に公開された「Signaling Trust Anchor Knowledge in DNS Security Extensions」(RFC 8145に記載3)です。そのプロトコルでは、検証リゾルバは、クエリ名に構成されたトラストアンカーのDNSKEY鍵IDを含むDNSクエリを発行します。これらのクエリは、ルートサーバーのトラフィックで受動的に観察できます。2017年9月には、このプロトコルを使用しているリゾルバが非常に多く存在しており、トラストアンカーについてのアナウンスでは、当初予想されたものよりもトラストアンカーが誤って構成された割合が高いことが示されました。しかし、その時に確認されたシグナルは十分に理解されておらず、その結果、ICANN組織は、技術的なコミュニティの支援を受けてシグナルをより深く理解するためにルートゾーンKSKのロールオーバーを延期することに決めました。

ICANN組織のCTOオフィス(OCTO)チームやその他の機関による詳細な研究により、RFC 8145データの品質に関する懸念が明らかになりました。たとえば、フォワーダに送信されたトラストアンカー情報を報告するDNSクエリは、他のクエリと同じように扱われ、フォワーダが検証しているかどうかにかかわらずルートサーバーに送信されます。あるケースでは、一般的なDNSリゾルバ実装は、リゾルバが検証するように構成されておらず、新しいトラストアンカーが設定されていなくても、トラストアンカーにシグナルを送信していました。この実装の決定は、その後のソフトウェアリリースで戻されました。別のケースでは、広く知られているDNSリゾルバライブラリがトラストアンカーにシグナルを送信しましたが、トラストアンカー構成を自動的に更新する方法はありませんでした。そのため、そのDNSリゾルバライブラリを使用する一般的なシングルユーザーVPN実装の単一の環境では、時間が経過すると、異なるソースアドレスからの古いトラストアンカーシグナルを送信することになります。南カリフォルニア大学情報科学研究所のWes Hardaker氏はこの事象を発見し、このライブラリを使用しているベンダーに情報を提供し、ソフトウェアを更新しました。この変更により、古いトラストアンカーを報告しているソースの数が大幅に削減されました。4

ただし、RFC 8145のデータはリゾルバのみを報告します。 それらのリゾルバに依存するエンドユーザーの数は示しません。検証リゾルバに依存しているユーザー数の規模を理解するために、アジア太平洋地域の地域インターネットレジストリ(APNIC)は、Googleの広告ネットワークを利用してDNSをクエリする測定システムを使用しました。ICANNのトラストアンカーシグナル送信ソースと自身のリゾルバソースとのインターセクション分析し、APNICは、ルートKSKのロールオーバーによる悪影響を受けるルートユーザーはわずか0.05%になると計算しました。5

今後、ICANN組織は、DNSSEC検証が有効になっていることを示唆する最もアクティブなリゾルバトラフィックがある1000社のインターネットサービスプロバイダ(ISP)に連絡し、2018年10月11日にルートKSKがロールオーバーされることを通知します。これらのISPに対しては、ロールオーバーの準備計画についても調査し、リゾルバオペレータはKSKのロールオーバーについてさらに認識を高めることができるようにします。

ICANN組織は、2015年にトラストアンカーをロールオーバーする計画を最初に発表してから、アウトリーチキャンペーンを現在まで展開しており、国際的、地域、そして各国でのカンファレンスにおいてで約100回の講演を行い、このニュースを150回以上技術関連の報道機関を通じて公開しています。ICANN組織は、また、トラストアンカーのロールオーバーに関連する9つのブログ記事を公開しており、ネットワークで検証リゾルバを設定しているが、RFC 8145のデータから新しいトラストアンカーを構成していないISPに対する通知を今後も行っていきます。

これらの努力とこれまで収集できたデータから、ICANN組織は、2018年10月11日に予定されていたルートKSKのロールオーバーでは、DNSユーザーのごく一部にしか影響を及ぼさないという自信を深めています。

 


1 https://www.iana.org/dnssec/icann-dps.txt

2 https://datatracker.ietf.org/doc/rfc5011/

3 https://datatracker.ietf.org/doc/rfc8145/

4 http://root-trust-anchor-reports.research.icann.org/

5 http://www.potaroo.net/ispcol/2018-04/ksk.pdf [PDF, 184 KB]

Authors

Matt Larson

Matt Larson

VP, Research
Read biographyRead biography