Skip to main content

KSKロールオーバーの延期

このページは以下の言語でもご覧いただけます。

Internet Corporation for Assigned Names and Numbers(「ICANN」)は本日、ドメイン名システム(DNS)の保護強化を目的とした暗号化鍵の変更を延期することを発表しました。

この鍵の変更により、新しい暗号化鍵ペアが生成され、DNSセキュリティ拡張(DNSSEC)検証リゾルバに新しい新しいパブリックコンポーネントが配布されます。  DNSSECを使用しているインターネットユーザーの数から推定すると、世界のインターネットユーザーの4分の1に相当する、約7億5,000万のユーザーがKSKロールオーバーの影響を受ける可能性があります。

KSK鍵の変更(ロールオーバー)は当初、10月11日を予定していましたが、最近収集したデータで、非常に多くのインターネットサービスプロバイダー(ISP)とネットワーク事業者のリゾルバで変更への対応が完了していないことが明らかになったため、ロールオーバーの実施を延期することにしました。  最近のDNSプロトコルに対する変更で、リゾルバから鍵が設定されているルートサーバーへの報告機能が追加されました。このデータにより、現在の対応状況が判明しました。

事業者のシステムに新しい鍵がインストールされていない理由としては、リゾルバソフトウェアが適切に設定されていない、広く利用されているリゾルバプログラムで最近問題が見つかったため鍵が自動的に更新されない、などの理由があります。理由については引き続き調査を行っています。

ICANNは、安全性と安定性に関する諮問委員会、地域インターネットレジストリ、ネットワーク事業者グループなどのコミュニティに問題の調査と解決に対する協力を依頼しています。

ICANNでは、鍵の変更は非常に多くのインターネットユーザーに影響を及ぼすことを考慮し、しばらくの間、鍵の変更を延期することとしました。ICANNでは、鍵変更への準備を進めるため、関連する技術組織の教育、対話、協力を継続していきます。

ヨーラン・マービーは次のように述べています。「ドメイン名システムのセキュリティ、安定性、回復力を向上させることが我々のコアミッションです。慎重に作業を進めてきましたが、10月11日のロールオーバーは延期が妥当と判断しました。非常に多くのエンドユーザーに影響を及ぼす問題が見つかっているにも拘わらず、予定通りロールオーバーを実施するのは無責任と言わざるを得ません。」

鍵ロールーバーの新しい実施日は未定です。ICANNの最高技術責任者は「現時点では、2018年第1四半期の実施を目指していますが、問題の解決と回避策の実施状況によっては更なる延期もありえます」と話しています。

ICANNでは、新たな情報を速やかに提供し、新しい鍵ロールオーバーの実施日を発表する予定です。

「新しい鍵でリゾルバを正しく構成できるように、テストプラットフォーム(http://go.icann.org/KSKtest)を用意しています。引き続きサポートと情報提供を行っていきますので、ネットワーク事業者の方はこの期間に鍵ロールーバーへの対応を完了していただきたいと思います」とマービーは述べています。

DNSSEC について

インターネット上のリソースを簡単に識別できるように、これらのリソースの数値のアドレスは、人間が判別可能な文字列で表現されています。この文字列は分散階層型のドメイン名システム(DNS)により数値に変換されます。コンピューティングとネットワーキングが飛躍的に進化したため、1983年当初のデザインでは、現在の巧妙な攻撃には耐えられなくなっています。このような脅威に対応するため、国際標準化組織のIETFがDNSSECを開発しました。この規格は、DNSコンテンツを暗号化し、情報の改ざんを検出・防止するものです。DNSSECが完全に展開されると、DNSの悪用によるユーザーのリダイレクトを防ぐことができます。

##

KSKロールオーバーの最新情報: https://www.icann.org/resources/pages/ksk-rollover

ソーシャルメディア: #Keyroll


More Announcements
Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."