KSKロールオーバーの再開に向けた実施計画案の公開
tech_team JPNICからのお知らせ インターネットの技術2018年2月1日、ICANNは延期となっていたKSKロールオーバーの再開に向け、実施計画案を公開し、2018年4月2日23時59分(UTC)/日本時間4月3日8時59分を締切としたパブリックコメントの募集を始めました。計画案の主な内容は、KSKロールオーバーの実施日を2018年10月11日にしたいというものです。
- Announcing Draft Plan For Continuing With The KSK Roll
- Plan to Restart the Root Key Signing Key (KSK) Rollover Process
このブログでは、このICANNから出た計画案の内容について、詳しくご紹介します。ぜひ参考になさってください。
これまでの流れ
ICANNは2017年9月、もともと2017年10月11日に予定されていたKSKロールオーバーの実施日を延期すると発表しました。延期の理由として、KSKロールオーバーに対する準備ができていないリゾルバが、予想以上に存在していたという調査結果が出たためです。
延期の決定後ICANNは追加の調査を行いましたが、なぜそのようなリゾルバが存在するのか、いつ再開すればよいかの判断が可能なまでのデータを収集することができませんでした。その結果、ICANNは今後の進め方についてコミュニティから協力を求めることにしました。
ICANNはそのため ksk-rollover@icann.org メーリングリスト上でコミュニティと議論を行い、どのようにKSKロールオーバーを進めていくかを決定することにしました。
メーリングリスト上での議論はさまざまな角度から行われ、幅広い提案がなされました。しかしその中で最も多く意見が集まったのは、適切なタイミングでの KSKロールオーバーの進め方でした。
JPNICブログでも以前お知らせしましたが、ICANNは RFC8145によるリゾルバにおけるトラストアンカーの設定状況について調査しました。しかしDNSではフォワーダーという仕組みがあるため正確なリゾルバの設定状況が不明確になること、また、エンドユーザーへ割り当てられるダイナミックアドレスからの通知でも情報収集が難しくなることが指摘されています。
- 延期となったKSKロールオーバーについて (JPNICブログ)
https://blog.nic.ad.jp/blog/postponed-ksk-rollover/ - ICANNがルートゾーンKSKロールオーバーに関するアップデートを発表 (JPNICからのアナウンス)
https://www.nic.ad.jp/ja/topics/2017/20171219-01.html - RFC 8145 – Signaling Trust Anchor Knowledge in DNS Security Extensions
https://tools.ietf.org/html/rfc8145
メーリングリストでは、上記の問題についても注目が集まりました。さまざまな議論が行われましたが、おおまかな結論として、調査をより広く行ったとしても、正確な数字は不明なままであろうということになりました。また “A Sentinel for Detecting Trusted Keys in DNSSEC” と呼ばれるあらたなプロトコルについても議論が行われました。しかしながらこれについても、より多くの情報が得られるようにはなるが、標準化や実装、普及まで時間がかかるだろうとの流れになっています。
- A Sentinel for Detecting Trusted Keys in DNSSEC
https://tools.ietf.org/html/draft-ietf-dnsop-kskroll-sentinel
KSKロールオーバーの実施日を2018年10月11日に
ICANNはKSKロールオーバーの実施を2018年10月11日とすることを計画しています。この日付は以前の実施計画である2017年10月11日のちょうど1年後です。ICANNは、コミュニティとのさまざまな議論を行ってきたが、KSKロールオーバーの実施そのものを中止するまでの重要な判断基準は得られなかったとしており、ICANNはICANN理事会の承認を経てこの日付を確定したいとしています。
また、2018年10月11日という日付が選ばれた理由としては、計画案に対してパブリックコメントを募集し、コミュニティが計画案をレビューできるだけの期間を設けるという意味合いがあります。また同時にICANN理事会に対して関係者と議論や調査を行うだけの時間を用意するということもあります。
ICANNのさらなるアウトリーチ活動
ICANNは、さらに広くアウトリーチ活動を行い、なぜKSKロールオーバーに対する準備ができていないリゾルバが存在するのか把握するため、より広範囲に活動を行うとしています。そのためコミュニティに対してなぜKSK-2010のみのリゾルバを運用しているのか、有用な理由がないかどうか意見を出してほしいとしています。また、その理由が危険性・緊急性の高いものであれば、緩和策について実施計画への追加を行うとしています。
調査と結果の継続的な公表
ICANNは2017年に行った RFC8145によるトラストアンカーの調査を今後も継続し、毎月調査結果をコミュニティに対して提供するとしています。また、その中でコミュニティによって対応ができないリゾルバを特定する方法について援助を求めるとしています。また、コミュニティがそのデータから有用な知見が得られるよう、ぜひ活用して欲しいとしています。