逆引きDNSへのDNSSECはじめます

JPNICは2015年11月9日(月)より、逆引きDNSへDNSSECを導入する予定^*1です。今回は、逆引きDNSへのDNSSEC導入について現在の状況を簡単にお伝えします。

技術的な前提として、逆引きDNSへのDNSSEC導入に際しては、 当該ゾーンへの署名に加えて、 上位ゾーンへ逆引きゾーンの署名鍵に関する情報(DSレコード)を登録する必要があります。 逆引きDNSSECの仕組みについては、「ニュースレターNo.43/2009年11月発行 10分講座 DNSSEC」^*2もご参照ください。

逆引きDNSへのDNSSEC導入の工程は、次の通りです。

※参考　逆引きDNSへのDNSSEC署名の追加と上位ゾーンへのDSレコード登録について

この各工程について、対応状況をお伝えしますと、つい先日の10月27日(火)、 JPNICが管理する逆引きゾーン^*3へDNSSEC署名追加が追加されました。通常、JPNICが管理する逆引きゾーンの更新は、一日一回早朝に行われます。 今回は、この逆引きゾーンにDNSSEC署名が加わるため、 担当者が夜間出勤して署名追加に伴うシステム的な対応を実施しました。

11月4日(水)には、JPNICが管理するゾーンについて、 その上位ゾーンへDSレコード登録を行います。 たとえば x.y.in-addr.arpa. という逆引きゾーンがあったとしますと、 このゾーンについてのDSレコードを y.in-addr.arpa. を管理しているネームサーバーに登録することになります。 JPNICの管理している逆引きゾーンの場合は、 APNICのネームサーバーに登録します。

DNSSECを運営しているレジストリはDSレコード登録用のインターフェース(Web申請システムなど)を設けていることが多いのですが、 APNICもWeb申請システム(MyAPNIC^*4を運用しています。 そのためMyAPNICで登録できるゾーンはMyAPNICから登録を行います。

しかし、JPNICの管理しているゾーンのうち「133.in-addr.arpa.」 という/8相当のゾーンがあり、 こちらはMyAPNICからは対応できません。そのため、どう登録するのかの調査を行いました。in-addr.arpa.を管理している機関はIANAですが、IANAにはWeb申請システム相当のインターフェースが用意されていません。 IANAのWeb^*5にIPv4空間のレジストリ一覧があり、 こちらには133/8はAPNICにより管理されているという記載があったので、 APNICに照会したところ、 APNIC経由でDSレコードの登録が可能ということがわかり、 所定のセキュアな手段でAPNICにDSレコードを送ることになりました。

以上の準備を経て、 JPNICが管理する逆引きゾーンについて、 DNSSEC検証が可能な状態になります。 さらに、11月9日(月)には、 JPNICのWeb申請システムにDSレコードを登録することができるように、JPNICのWeb申請システムにDSレコード登録用のインターフェースを追加する予定です。

なおJPNICの調査^*6では、 既に逆引きDNSSECを導入しているAPNICの管理下では、 16組織が逆引きDNSSECを登録していることがわかっています。 JPNICは皆様による逆引きDNSSECの登録をお待ちしております。

*1 IPアドレス管理業務に関するJPNIC文書公開のお知らせ
～逆引きDNSへのDNSSEC導入および更新間隔短縮～

https://www.nic.ad.jp/ja/topics/2015/20151009-02.html

*2 ニュースレターNo.43/2009年11月発行 10分講座 DNSSEC

https://www.nic.ad.jp/ja/newsletter/No43/0800.html

*3 JPNICが逆引きの管理を行っているIPv4アドレス一覧

https://www.nic.ad.jp/ja/dns/jp-addr-block.html

*4 MyAPNIC

https://myapnic.net/

*5 IANA IPv4 Address Space Registry

http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xhtml

*6 APNIC 38カンファレンス報告 [第2弾] 各RIRにおける逆引きDNSSECの動向報告
■ 各RIRにおける逆引きDNSSECの登録状況

https://www.nic.ad.jp/ja/mailmagazine/backnumber/2014/vol1238.html