1. お騒がせ見出し
| /DNSKEY /JPCERT /JPNIC /JPRS /Microsoftサポートblog /asahi /dns-oarc.net /e-ontap /itmedia /janog39 /named.conf /nisc /open-resolver調査 /watch /お騒がせ見出し /伝言ゲーム /総務省 |
Contents
/パニック になるか、と心配したが、なっていない。(そっちを心配した方がいいのかも)
- **推進協議会宛の通知で、「キャッシュDNSサーバの運用者」なんて言われてもねえ。
KSKの更新の影響を受けるのはDNSSEC検証を行っているリゾルバーだけです。
- KSKを正しく受け取って、更新しておくこと。(すでに公開されている。)
- 一時的に大きくなる返答を受け取れるか調べて、対応しておくこと。
- (大きなUDPパケットを受け取れるかどうかはネットワークの設定などに依存します。)
DNSSEC検証を行わないリゾルバーには影響しません。
- この部分が間違っている文書がほとんどです。
-- ToshinoriMaeno 2017-08-20 11:01:40
いまDNSSEC検証を有効にするのは危ない。
今回の注意喚起や報道のひどいのは、
- 「DNSSECを使っていないひとも対応する必要がある」という誤解をさせることだ。(見出しもひどい)
KSK関連の大きなパケットを受け取る必要があるのはDNSSEC検証をしたいからなのに。
- それ以外の大きなパケットが来るかも知れないのは今回の件とは別件である。 ここを混同させたうえ、DNSSEC検証までさせようとはとんでもない話だ。
-- ToshinoriMaeno 2017-08-19 01:43:01
Contents
1.1. DNSの世界的な運用変更
DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性
「9月19日までに対応しなければ、ユーザーがWebサイトの閲覧やメール送信をできなくなる恐れがある。」
また、『「DNSにおける電子署名鍵の更改について」というタイトルの<キャッシュDNSサーバーを運用する者が講ずべき措置について解説した資料> を作成』したとある。(この解説資料がいろいろ問題を含む。)😱
総務省総合通信基盤局長から内閣官房内閣サイバーセキュリティセンターあて 総基デ第49号平成29年7月14日 http://www.kantei.go.jp/jp/singi/it2/cio/dai72/siryou3.pdf
経済産業省からの連絡 DNSにおける電子署名鍵の変更について (繊維産業流通構造改革推進協議会) https://fispa.gr.jp/archives/3794.html
1.1.1. ドメイン管理の仕組み「DNS」が運用変更
1.2. DNS運用の大規模変更
DNS運用の大規模変更に注意喚起--「9月19日までに対応を」と政府 -
ZDNet Japan https://japan.zdnet.com/article/35104517/ …
DNS運用の大規模変更に伴う Windows の DNS サーバー上での対策の必要性 – Ask the Network & AD Support Team https://blogs.technet.microsoft.com/jpntsblog/2017/08/09/dnssec/ …
政府じゃないし、注意喚起でもない。-- ToshinoriMaeno 2017-08-20 10:54:13
1.3. ルートゾーンKSKロールオーバー
JPNICのこれが起源? /JPNIC
DNSSECバリデーションにおけるルートゾーンKSKロールオーバーに関する重要なお知らせ 2017年5月31日
【技術情報】ルートゾーンKSKロールオーバーについてのご質問とその回答
【注意喚起・更新】ルートゾーンKSKロールオーバーによる影響とその確認方法について
"ルートゾーンKSKロールオーバーによる影響とその確認方法について"
ルートゾーンKSKロールオーバーによる影響について | さくらインターネット
ネットユーザの1/4が影響する可能性 http://www.excite.co.jp/News/it_biz/20170803/Scannetsecurity_40018.html
KSKロールオーバーによって一部のDNS応答のサイズが増大し、 利用環境によってはIPフラグメンテーションが発生し、 インターネットの利用に遅延や接続できないなどの障害が起こる可能性がある。
ICANNでは、こうした影響がインターネットユーザの4人に1人に及ぶ可能性を示唆している。 たとえサーバ側でDNSSEC検証を無効にしていても、 クライアント側がDNSSECに関する問い合わせをしてくるケースなど、 状況によっては本件の影響を受ける可能性があるとしており、同ページを参考に確認するよう呼びかけている。
因果関係がでたらめだし、ICANNが言っていることとJPRS起源のものとがごちゃ混ぜ。ひどすぎる。 -- ToshinoriMaeno 2017-08-30 01:21:53
1.4. DNS運用者以外にも幅広い影響
JPNIC News & Views vol.1516【定期号】 特集:があります!
- ~DNSSEC導入後初のルートゾーンKSKロールオーバー実施~ - JPNIC
<DNS運用者以外にも幅広い影響> と言った時点でいかに分かっていないかを示している。 -- ToshinoriMaeno 2017-08-20 00:13:13
1.5. ほとんどのネットワークに影響
お騒がせのセミナー(ひとよせが目的)
https://majisemi.com/e/c/designet-20170803
1.6. ネットのアドレス管理変更
ネットのアドレス管理変更、企業などに対応要請 総務省 2017/7/23 20:08
https://twitter.com/MPD_cybersec/status/889709684629708800
【キャッシュDNSサーバー】DNS(ドメインネームシステム)において、 電子署名の正当性を検証するために使う暗号鍵の中で最上位となる鍵(ルートゾーンKSK)の更改が実施されます。 キャッシュDNSサーバーの運用者はご注意ください。→
何年も前から予告されているので、この内容では意味ないな。-- ToshinoriMaeno 2017-08-18 15:37:11
1.7. ドメイン管理の仕組み「DNS」が運用変更
速報 2017年07月24日 13時03分 公開
- ドメイン管理の仕組み「DNS」が運用変更 総務省が注意喚起
- 「DNS」で暗号鍵の一部が更改されるのを受け、
- 総務省がネットサービスプロバイダーや企業のシステム管理者などに注意喚起。
- 「DNS」で暗号鍵の一部が更改されるのを受け、
1.8. 企業LAN、ネット遮断のおそれ
企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ
- 上栗崇 2017年7月21日21時01分
http://www.asahi.com/articles/ASK7P5FYBK7PULFA011.html
1.9. その他
https://twitter.com/OrangeMorishita/status/885453947577565185
今回のルートゾーンKSKロールオーバーにあたって、 Verisign LabsやDNS-OARCのサイトで確認をする必要がある人は誰で、 何の設定を確認する必要があるのか、 という点が理解されていない、ということですか。。
理解させようというつもりがあるようには見えない。-- ToshinoriMaeno 2017-08-18 15:43:59
「JPRSではすべてのネットワーク管理者・フルリゾルバー(キャッシュDNSサーバー)の管理者に対し、 各自のネットワークにおいてサイズの大きなDNS応答を正しく受け取れるかを早急に確認し、 問題が発見された場合、適切に対応することを強く推奨します。」と
- こんなに広く巻き込む必要はない。そこをわざわざ巻き込んでいるので、なんらかの意図がある。
DNS応答のIPフラグメントがやってくる!準備できていますか? 2017年1月20日JANOG39LT 米谷嘉朗
https://www.janog.gr.jp/meeting/janog39/application/files/5014/8471/4979/JANOG39-LT-yoneya.pdf
1.10. IDCF
見出しはおとなしいが、中身は問題。 http://blog.idcf.jp/entry/ksk-rollover
まず、キャッシュDNSサーバーがDNSSEC検証を行っている・いないにかかわらず、 前述の1,400オクテット超の応答の受信確認を行っておきましょう。