1. ルートゾーンKSK/日本では/nisc

/DNSKEY   /JPCERT   /JPNIC   /JPRS   /Microsoftサポートblog   /asahi   /dns-oarc.net   /e-ontap   /itmedia   /janog39   /named.conf   /nisc   /open-resolver調査   /watch   /お騒がせ見出し   /伝言ゲーム   /総務省  

総務省の通知の元になったと思われる文書

https://www.nisc.go.jp/active/kihon/dns_taisaku.html

-- ToshinoriMaeno 2017-08-03 21:05:37

お願いを周知してくれと言っているだけだ。 

キャッシュDNSサーバーを運用する方におかれては、以下の内容をご確認のうえ対策を講じるようお願いいたします。

ここ(以下)の文章は注意深く書かれていて、断定的なことは言っていない。w -- ToshinoriMaeno 2017-07-26 05:56:52

https://www.nisc.go.jp/active/general/pdf/taisaku_170718.pdf 

事務連絡  平成 29 年 7 月 18 日 
各府省庁情報セキュリティ担当課室長 殿 
各府省庁情報システム担当課室長  殿 
        内閣官房 内閣サイバーセキュリティセンター
...


DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性について

上記内容について総務省から内閣サイバーセキュリティセンター及び情報通信技術(IT)総合戦略
室に対し周知依頼がありましたので、別紙の内容をご確認のうえ対策を講じるようお願いいたしま
す。また、独立行政法人その他の所管する法人に周知するとともに、業界団体を通じて連絡する等
により所管する産業界(重要インフラ事業者を含む。)へも幅広く周知していただきますようお願い
いたします。

これは「総務省からの周知依頼」だそうです。-- ToshinoriMaeno 2017-08-02 00:15:23

以下の「別紙」が曲者だ。http://www.soumu.go.jp/main_content/000497803.pdf 

なお本年9月19日までに必要な処置が講じられない場合、
Webアクセスやメール送信などができない利用者が生じる可能性があります

対象者 
  DNSを用いた検索を実際に行う「キャッシュDNSサーバー」の運用者全て 
例:契約者向けに提供するインターネットサービスプロバイダ、LAN利用者向けに提供する官庁・独法・学校・企業など 
  ※DNSSECを無効にしている方も下記影響・対応の②についてご確認ください。 

影響 
①検索結果の正当性が確認できなくなり利用者のネット利用に不具合が生じる。 
②検索結果の受信データ量(UDPメッセージサイズ)が増大することから、利用者のネット利用に不具合が生じる可能性がある。 

対応 
①「鍵の更改」に追従する。 
・キャッシュDNSサーバーのソフトウェアを最新版に更新する。 
・キャッシュDNSサーバーにおいてDNSSECのトラストアンカーの自動更新の設定を行う。 
②「鍵の移行期間」のデータ量(UDPメッセージサイズ)増大に対応する。 
  ・キャッシュDNSサーバーにおいてUDP受信サイズを4096オクテットの検索結果が受信できる設定を行う。 
  ・キャッシュDNSサーバーにおいて4096オクテットの検索結果が受信できるか確認する。

https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html

https://www.icann.org/resources/pages/ksk

KSK変更で、UDP受信データが確実に増大するのは、DNSSECを使っている場合です。

-- ToshinoriMaeno 2017-07-26 06:06:03