1. ルートゾーンKSK/日本では


ICANN公式ページはこれ: https://www.icann.org/resources/pages/ksk-rollover /icann

ルートゾーンKSKのロールオーバー(日本語) https://www.icann.org/resources/pages/ksk-rollover-2017-05-31-ja

https://www.icann.org/news/announcement-2017-09-27-ja (延期されたのは新KSKでの署名)

どちらも、フラグメント問題には触れられていない。だが、... /DNSKEY

1.1. 日本では

署名延期はほとんど話題にならず、当日を過ぎてもなんの騒ぎもtweetもなかった。

-- ToshinoriMaeno 2017-10-12 23:21:22

誰を相手にした説明なのか、それが問題だ。(落語が作れそうな)

/お騒がせ見出し

/open-resolver調査

インターネット白書2017: IoTが生み出す新たなリアル市場 https://books.google.co.jp/books?id=ffUDDgAAQBAJ&pg=RA1-PT162&lpg=RA1-PT162&dq=%E3%83%AA%E3%82%BE%E3%83%AB%E3%83%90%E3%83%BC%E3%80%80DNSSEC+%E6%A4%9C%E8%A8%BC&source=bl&ots=lTHc2Rl-Aa&sig=y9FFHoHIgXloG9YJ5-cb9pHwrBE&hl=en&sa=X&ved=0ahUKEwiM_a7L0NHVAhWCF5QKHZ7qBtw4ChDoAQg5MAM#v=onepage&q=%E3%83%AA%E3%82%BE%E3%83%AB%E3%83%90%E3%83%BC%E3%80%80DNSSEC%20%E6%A4%9C%E8%A8%BC&f=false

現在、多くのフルリゾルバーではDNSSEC検証を有効にしていない場合もDNSSEC署名を...

/伝言ゲーム /itmedia /asahi /JPNIC /JPCERT

/Microsoftサポートblogがすっきりしている。 Windows の DNS サーバー上での対策の必要性 (必要なしw) https://blogs.technet.microsoft.com/jpntsblog/2017/08/09/dnssec/

1.2. FAQ

Q. DNSSECを使っていないのに、なぜKSKロールオーバーに対応しなければいけないのか。
Q. DNSSECを使いたくないのに、DNSSEC検証を有効にしなければ名前解決できなくなるのか。
 (これは総務省のFUDらしい。)
Q. DNSSECを使っていないのに、DNS返答が大きくなるというのは本当か。

影響の大きいのは/総務省の発表だ。(DNSSECを使っていなくても影響があると言っているようだ。)-- ToshinoriMaeno 2017-07-28 22:57:08 DNSとDNSSECを区別していないのは意図的らしい。-- ToshinoriMaeno 2017-08-09 10:40:17

結論:DNSSECを使っていなければ、影響はない。-- ToshinoriMaeno 2017-08-01 22:48:49

  1. BINDであれば、dnssec-validate no; optionがあればいいらしい。(defaultは?)
  2. Unboundも同種の設定があるらしいが、詳細は不明。
    1. Knot resolver はdnssec moduleを入れなければいいようだ。

つまり、お騒がせな発表が多いということ。(総務省のはそれを意図しているという伝聞もある)

/e-ontap : http://www.e-ontap.com/blog/20170807.html

/JPNIC 更新: https://www.nic.ad.jp/ja/dns/ksk-rollover/

https://www.nic.ad.jp/ja/topics/2017/20170531-02.html


現状での解釈 -- ToshinoriMaeno 2017-07-28 13:20:38

「DNSSEC検証の有無に関わらず」という表現(DNSSECのBIND用語を知らないひとには誤解される表現)が
「DNSSECを無効にしていても」影響を受けるという表現(誤報)に変化して伝わっている。

まさに伝言ゲームだ。

大部分のキャッシュサーバーがDNSSEC enable状態であれば、実害は少ないのだが、 私のようにDNSSECをまったく使っていないものには大きな迷惑だ。:-< -- ToshinoriMaeno 2017-07-28 13:42:59

(これも表はDNSSECではなく、DNSと言っている。しかも「運用変更」だって。)

NISC DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性について

 ※DNSSECを無効にしている方も下記影響・対応の②についてご確認ください。
影響 
①検索結果の正当性が確認できなくなり利用者のネット利用に不具合が生じる。 
②検索結果の受信データ量(UDPメッセージサイズ)が増大することから、
  利用者のネット利用に不具合が生じる可能性がある。 

なお本年9月19日までに必要な処置が講じられない場合、
Webアクセスやメール送信などができない利用者が生じる可能性があります。

DNSの世界的な運用変更に伴い必要となる対策について www.nisc.go.jp/conference/cs/taisaku/ciso/dai13/.../13shiryou03.pd...

1.3. JANOG

インターネット白書2017: IoTが生み出す新たなリアル市場 https://books.google.co.jp/books?id=ffUDDgAAQBAJ&pg=RA1-PT162&lpg=RA1-PT162&dq=%E5%BF%9C%E7%AD%94%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E5%8F%97%E3%81%91%E5%8F%96%E3%82%8C%E3%81%AA%E3%81%84%E5%8F%AF%E8%83%BD%E6%80%A7&source=bl&ots=lTHb0OhYza&sig=l4sYw0pDwvrZMlvSV8fhv47NoZ4&hl=en&sa=X&ved=0ahUKEwiSls222q3VAhXGopQKHWFEAMoQ6AEILTAB#v=onepage&q=%E5%BF%9C%E7%AD%94%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E5%8F%97%E3%81%91%E5%8F%96%E3%82%8C%E3%81%AA%E3%81%84%E5%8F%AF%E8%83%BD%E6%80%A7&f=false

現在、多くのフルリゾルバーではDNSSEC検証を有効にしていない場合もDNSSEC署名月の応答を受けとっているため、
今回のKSKロールオーバーによる影響を、該当するすべてのフルリゾルバーにおいて考慮する必要がある。

フラグメント化に関連して、DNSSECを使っていなくても問題が起きるという風説がある。

「KSKロールオーバーとは関係なく、大きいパケットの問題がある」、という意味なら正しい。

「KSKロールオーバーが原因で、DNSSECを使っていなくてもフラグメント化問題が起きる」という説は怪しい。

  フルリゾルバーはDNSSEC検証の有無に関わらずDNSKEYを取得しているため

これを追跡している。-- ToshinoriMaeno 2017-07-23 23:16:54

1.4. internetweek

ルートゾーンのKSKロールオーバーについて(ISPから見た事前確認・準備のポイント) 末松慶文 2017年6月1日 Internet Week ショーケース @名古屋

https://internetweek.jp/sc-program/day1-suematsu.pdf /末松

「KSKロールオーバー」に伴い講ずべき措置、総務省が国内関係者に告知、 9月19日以降にウェブアクセスやメール送信ができなくなる場合も

http://internet.watch.impress.co.jp/docs/news/1072181.html

-- ToshinoriMaeno 2017-07-28 22:53:54

1.5. bind

bind resolver はdefault で

dnssec-enable yes;

1.6. unbound

Unbound: Howto Turn Off DNSSEC http://www.unbound.net/documentation/howto_turnoff_dnssec.html

Please be warned, do not take disabling DNSSEC lightly, it may make you vulnerable to certain kinds of attacks. 

1.7. internet.watch

/watch --- 小山 祐司(一般社団法人日本ネットワークインフォメーションセンター) 2017年6月22日 12:00 「Internet Weekショーケース in 名古屋」の発表から http://internet.watch.impress.co.jp/docs/special/1066659.html

 「うちはDNSSECを使っていないから大丈夫」と侮るなかれ。DNSSECを利用していなくても影響を受けるのだ。

DNSSEC検証の有効・無効問わず、名前解決ができなくなる

自分が使っているリゾルバー(キャッシュサーバー)がDNSSECを使っていれば、影響を受ける可能性はある。 と言いたいのであれば、そこは正しい。-- ToshinoriMaeno 2017-07-23 23:12:29

だが、それがKSK変更がらみのフラグメント化が理由なのか。

以下は間違いだ。検証は簡単ではない。-- ToshinoriMaeno 2017-07-23 23:07:54

IPフラグメントで名前解決に成功するかしないかは、次の方法で簡単に確認できるとのことだ。
DNSパケットが通るすべての通信経路を確認して、可能な範囲で検証することが必要である。

コマンドラインでの確認方法: dig +bufsize=4096 +short rs.dns-oarc.net txt

-- ToshinoriMaeno 2017-07-23 01:35:46

1.8. 総務省

DNSにおける電子署名鍵の更改について
平成29年7月14日
総務省総合通信基盤局データ通信課

https://www.nisc.go.jp/conference/cs/taisaku/ciso/dai13/pdf/13shiryou03.pdf

これに含まれるNISCの資料に疑問がある。

これか: 9/15ページ

○ また、ルートKSKの円滑な更改のために、一時的に新旧両方のKSK公開鍵を送信する期間がある。
 当該期間は、送信されるデータ量が増大し、IPフラグメントが生じることがある
 ※ISP等の事業者は、自らのDNSの応答に係る経路上の機器の設定が
  IPフラグメントに対応可能か否かを事前に確認しておく必要がある

DNSSECを利用するリゾルバーの話だ。

「ルートDNSサーバーの挙動」についてもおかしな記述がある。 ???

※ なお、ルートDNSサーバーは、応答相手のDNSSEC対応・非対応に関わらず公開鍵情報を送信してしまうため、
  DNSSEC非対応の機器についてもIPフラグメントによる問題が生じる可能がある。

この部分がおかしい。DNSの動作を理解していないひとが書いたものか。

一方で、こんな記述もある。

 フルリゾルバーはDNSSEC検証の有無に関わらずDNSKEYを取得している

ところで、10/15ページにはこうある。

DNSSECを使用していない場合、システムはロールオーバーの影響を受けません。

/icann.org-letter

ルートサーバーのDNSKEYリソースレコード(DNSKEY RR)の応答サイズが増加します。

/dnskey_query

http://www.soumu.go.jp/main_content/000497803.pdf

1.9. JPRS

2017年6月1日Internet Weekショーケースin名古屋 https://internetweek.jp/sc-program/day1-yoneya.pdf

米谷嘉朗 2017年6月28日 DNSOPS.JP DNS Summer Day https://dnsops.jp/event/20170628/20170628-RootKSKRO-02.pdf

影響を受ける対象者とその影響
 • フルリゾルバー運用者
  – 応答サイズが増加したDNSKEYがIPフラグメントにより受け取れなくなる可能性がある
 •  DNSSEC検証の有効・無効に関係なし
 •  DNSSEC検証を有効にしている場合、DNSKEYが受け取れないとすべてのDNSSEC検証が失敗し名前解決できなくなる

ルートゾーンKSKロールオーバーによる影響とその確認方法について

https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html

ルートゾーンKSKロールオーバーの一部のステップにおいて、ルートサーバー
のDNSKEYリソースレコード(DNSKEY RR)の応答サイズが増加します。
これによりIPフラグメントが発生し、DNS応答を正しく受け取れなくなる可能性があります。

なお、その可能性はDNSSEC検証の有効・無効には関係ありません。
  1. IPフラグメントが発生する理由はroot zone KSK変更だけが理由ではない。
    • DNSSECの利用が発生条件ではないのは確かだが、誤解を招く表現だ。
    • DNSKEYが関係するのはDNSSECを使っている場合であろう。
  2. IPフラグメントが発生したから、返答が受け取れなくなるというものでもない。

1.10. JPNIC

最終更新2017年5月31日 https://www.nic.ad.jp/ja/translation/icann/2016/20160722.html

1.10.1. 影響

影響があるのはどういう場合なのかの説明がない。

これによりIPフラグメントが発生し、DNS応答を正しく受け取れなくなる可能性があります。
なお、その可能性はDNSSEC検証の有効・無効には関係ありません。

この記述がおかしい。誤解されている。

-- ToshinoriMaeno 2017-07-21 23:25:42

DNSの応答の「IPフラグメントが発生する」のはKSKロールオーバーだけではない。

-- ToshinoriMaeno 2017-07-23 11:49:00

▼重要日付(ステップ開始日)と継続期間

  ・2017年9月19日~2017年10月11日(ZSKロールオーバーに伴う新ZSKの事前公開)
    ※この期間、DNSKEY RRの応答サイズが1414バイトに増加
  ・2017年10月11日(新KSKでの署名開始)
  ・2017年12月20日~2018年1月11日(ZSKロールオーバーに伴う新ZSKの事前公開)
    ※この期間、DNSKEY RRの応答サイズが1414バイトに増加
  ・2018年1月11日~2018年3月22日(現KSK(KSK-2010)の失効のための事後公開)
    ※この期間、DNSKEY RRの応答サイズが1424バイトに増加

1.11. 以下、あわてふためく様子

なぜこれが「DNS運用の大規模変更」というタイトルになるのだろう。

DNSの世界的な運用変更

DNSが使えなくなるトラブル、9月19日に発生する恐れ:ITpro

DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性について - 内閣官房内閣サイバーセキュリティセンター(NISC)

総務省(NISCの受け売りならまだ良かったのに) http://www.soumu.go.jp/menu_news/s-news/02kiban04_04000212.html

https://japan.zdnet.com/article/35104517/

この影響を受ける恐れがあるのは、
 インターネットサービス事業者などキャッシュDNSサーバの全ての運用者とされるが、
 状況によってはDNSSECを導入していない場合や、
 企業や学校などのネットワークにも及ぶ可能性があるとされる。

2017年08月03日 何をするべき?9月に迫るDNSの世界的な運用変更 https://cloudadvisor.jp/blog/dnssec_update

1.12. priming

https://kb.isc.org/article/AA-01309/0/Root-hints-a-collection-of-operational-and-configuration-FAQs.html

Does named ever refresh the primed roots?

Yes - named will re-prime the roots that it has in cache if and when the last authoritative server for "." expires or is otherwise removed from cache.  Reasons why named may no longer have a set of authoritative servers for "." in cache include:

1.13. ietf dnsops