zh

KSKロールオーバーの近況:概要と次のステップ

2018 年 10 月 30 日
作者: Paul HoffmanPaul Hoffman

本部分内容不仅提供联合国六种官方语言版本,还提供以下语言版本

既にご存知かもしれませんが、DNSルートゾーンの主要な暗号鍵は、2018年10月11日に慎重に調整された一連の手順の元で変更されました。結果は驚くほど良好であり、この変更(一般にロールオーバーと呼ばれます)によって悪影響を受けたインターネットユーザー数は予想よりも非常に少ない結果となりました。ロールオーバプロセスの完了までには、さらにいくつかの作業が必要となりますが、主要な作業は問題なく終了しました。

背景情報:ルートゾーンが2010年にDNSSECによって最初に署名されてから、ロールオーバーの実施は予見されていました。2014年12月に本格的な検討が開始され、ICANNは、ルートゾーン鍵署名鍵(KSK)のロールオーバー計画を開発するための計画チームに参加するボランティアをコミュニティから募集しました(KSKはZSKと呼ばれるゾーンの他の鍵に署名する鍵です)。この計画は2016年3月に公表され、コミュニティによって確認されました。ICANN組織は、具体的な運用計画(詳細はこちら)の策定を進め、2017年初めにリゾルバオペレータが十分に準備できるようにするための広範なアウトリーチ活動を展開しました。

ロールオーバーは2017年10月11日に予定されていましたが、ルートサーバーシステムにおいて混乱の兆候が認められたため、その1ヶ月前に延期が決定されました。これらの混乱の兆候が徹底的に検証された後、ICANNは、2018年10月11日にロールオーバーを再計画することをコミュニティに提案 [PDF, 162 KB] し、2018年9月にICANN理事会は新しいロールオーバーの時期を承認しました。

10月11日に運用計画が段階的に実施され、協定世界時(UTC)16:00にルートゾーンの署名に使用されていたKSKが、2017年に生成された新しい鍵に変更されました。ICANN組織はロールオーバーの前にリゾルバオペレータへの周知を徹底してきましたが、一部のリゾルバオペレータはロールオーバーの準備できないことを予測していました。しかし、ICANN組織とDNS技術コミュニティがロールオーバー実施後の報告書を確認したところ、リゾルバオペレータは適切に準備していたことがわかりました。ロールオーバーから2週間以上が経過しましたが、悪影響を受けたリゾルバはごく少数であり、私たちが知る限り、発生したすべての問題は回復できています。ICANNは、ロールオーバー時にサービスが中断し、ロールオーバーによって悪影響を受けた可能性のあるインターネットサービスプロバイダ(ISP)がわずか2社であったと聞いていますが、そのISPの担当者にヒアリングすることができておらず、根本原因について究明できていません。

まだ実施する必要があるいくつかの作業があります。最初に、古い鍵を正式に失効させる必要があります。2019年1月11日に、ルートゾーンで発行されたすべての古い鍵は、すでに有効ではなく、リゾルバは構成から削除する必要があることを示すように変更されます。その後すぐに、ICANNは、今回取り組みにおける教訓など、ロールオーバープロセス全体を網羅した充実したホワイトペーパーを公開する予定です。その後、ICANNの多くのコミュニティは、今後のロールオーバーで参照する必要がある情報(頻度、「スタンバイ」鍵の使用、ロールオーバーの前に確認する必要があるデータの種類など)についての議論を開始する予定です。これらの議論は、今回のロールオーバーとその実施までのプロセスで習得した教訓が基盤となります。

ルートKSKロールオーバーの今後の手順と、今後のロールオーバーについての議論に関心がございましたら、KSKロールオーバーメーリングリストにご参加ください。

Authors

Paul Hoffman

Distinguished Technologist
Read biographyRead biography