JPNICロゴ

ルートゾーンKSKロールオーバーの対応はお済みですか?

投稿者 tech_team on 2018年8月30日

ルートゾーンKSKロールオーバーの実施予定日である2018年10月11日が近づいてきています。 DNSサーバ管理者の皆様は確認や対応はお済みでしょうか。 2018年8月現在、ICANNのトラストアンカー調査によれば、 JPNICからの割り振り・割り当てレンジ中の対応できていないサーバはアドレス数ベースで160個ほど存在するようです。 再度ご確認いただければと思います。

RFC 8145 Root Trust Anchor Reports
http://root-trust-anchor-reports.research.icann.org/
The IP addresses reporting only KSK-2010 are available
http://root-trust-anchor-reports.research.icann.org/rfc8145-addresses.txt

実施予定日が近づいてきている中、 先日ICANNはKSKロールオーバーを実施した場合のエンドユーザへの影響について、 限定的なものになるだろうという予想をブログ記事で公開しました。

Minimal User Impact Expected From Root Zone Key Signing Key (KSK) Rollover
https://www.icann.org/news/blog/minimal-user-impact-expected-from-root-zone-key-signing-key-ksk-rollover

RFC8145によるトラストアンカー調査では、 対応できていないリゾルバの数は(正確性はさておき)把握できますが、 該当するリゾルバを利用するエンドユーザーの数は知ることができません。 極端な場合、 KSKロールオーバーに対応できていないリゾルバが1台だけだったとしても、 そのリゾルバを利用するユーザが数千万人いれば影響は広範囲に及びます。 ですので対応できていないリゾルバの数が少ないからといって無視することは難しいことになります。

そのため、 実際のエンドユーザーがどれくらい影響を受けるかどうか把握することが求められる訳ですが、 その問題について、 APNICのGeoff Huston氏によってエンドユーザー環境での調査が行われました。 Geoff氏の調査によると、99%以上のユーザは影響を受けず、 KSKロールオーバーによって問題が発生するユーザはおおよそ0.05%程度だろうと推測しています。 この調査結果を受け、 ICANNはKSKロールオーバーを実施してもほぼ問題ないだろうと判断しています。

Measuring Root Zone KSK Trust
http://www.potaroo.net/ispcol/2018-04/ksk.html

このような現状から見る限り、 新たに悪材料が出なければ2018年10月の実施は行われると予想されます。

なお、 ルートゾーンKSKロールオーバーを実施するか否かの最終決定は2018年9月に開かれるICANN理事会で決議されます。 決議の結果につきましてはICANN理事会終了次第、皆様にお知らせ致します。