MoinQ: ルートゾーンKSK/ICANN

1. 新鍵への変更を延期

https://www.icann.org/news/announcement-2017-09-27-ja

https://twitter.com/ICANN/status/913210047575900160

#ICANN announces that the plan to change cryptographic key that helps protect DNS is postponed.

Read more: https://go.icann.org/2hz6fgF #keyroll

/延期理由 /Keith /Matt /verisign

2. 要点

DNSSECを使用していない場合、システムはロールオーバーの影響を受けません。

DNSSEC検証を行っているのであれば、

　2018年1月11日:古いKSKの失効　

が一番の問題か。(ZSKのロールオーバーには対応できているものとしても）

• ZSKがどのように確認されているのかは、知りません。-- ToshinoriMaeno 2017-09-26 04:56:49

3. ルートゾーンKSK/icann

日本語ページ https://www.icann.org/resources/pages/ksk-rollover-2017-05-31-ja

Quick Guide: https://www.icann.org/en/system/files/files/ksk-rollover-quick-guide-prepare-systems-03apr17-en.pdf

• 日本語版もあるが、英語版を勧める。:-<

4. Overview

Maintaining an up-to-date KSK is essential to ensuring DNSSEC-validating DNS resolvers continue to function following the rollover. 

automated update process test: https://automated-ksk-test.research.icann.org/

5. Quick Guide:

クイックガイド(日本語版）:ルートKSKロールオーバーに向けたシステムの準備 https://www.icann.org/ja/system/files/files/ksk-rollover-quick-guide-prepare-systems-03apr17-ja.pdf

DNSSECを使用していない場合、システムはロールオーバーの影響を受けません。
しかし、DNSSECはドメイン名のハイジャックを防止する上で重要な役割を果たします。
DNSSECの導入についての詳細は、こちらをご覧ください。

5.1. Why You Need to Prepare

If you don’t use DNSSEC, your system will not be affected by the rollover.

• DNSSECを使っていないなら、影響はないでしょう。（はっきり書いてある。） 日本の関係者は責任回避に必死ということなのか、あるいはこの際に売り込もうとしているのか。

However, you should know that DNSSEC is an important part of preventing domain name hijacking. 

Updating of DNS Validating Resolvers with the Latest Trust Anchor https://www.icann.org/dns-resolvers-updating-latest-trust-anchor

6. KSK rollover at a glance

https://www.icann.org/en/system/files/files/ksk-rollover-at-a-glance-22jul16-en.pdf

"Who needs to take action" にはDNSSEC関連のことしか書かれていない。

• つまり、使っていなければ、影響はないということだろう。

7. Ed. Lewis

https://ripe74.ripe.net/presentations/25-RIPE74-lewis-submission.pdf

Make sure your servers can query over TCP (especially in IPv6)