はじめに
DNSSEC触ったことないけれど、いつか自分が触る日のことを想像して今のうちに情報を纏めておく。
DNSSEC
電子署名を利用してDNSの応答を検証する仕組み。
DNSキャッシュポイズニング対策として利用(しているものと認識)。
DSレコードというRRと、2種類の鍵を使用して検証。鍵はKSKとZSKがある。
KSK
Key Signing Key:鍵署名鍵
文字通り鍵を署名するための鍵。
ZSK
Zone signing Key:ゾーン署名鍵
署名鍵以外のレコード(ゾーンのデータ)を署名するための鍵。
KSKロールオーバー
2018年10月に実施されたルートゾーンに含まれるKSKの更新作業と、それに伴う、IPフラグメントなどの影響を示す。
参考資料
DNSSEC
インターネット10分講座:DNSSEC - JPNIC
www.nic.ad.jp
三分でわかるKSKロールオーバー(KSKの更新)
三分でわかるKSKロールオーバー(KSKの更新) - JPNIC
www.nic.ad.jp
KSKロールオーバーとは
KSKロールオーバーとは | OSSのデージーネット
www.designet.co.jp
ネット史上初めての「KSKロールオーバー」が始まる、名前解決できなくなる前にDNSサーバーなど設定確認を! 今年9月は特に注意
https:/internet.watch.impress.co.jp/docs/special/1066659.html
権威DNSのDNSSEC対応
https://www.nic.ad.jp/ja/materials/iw/2012/proceedings/t9/t9-Yamaguchi.pdf
あなたのDNS運用は来るべきDNSSEC時代に耐えられますか
コメント