DNSSEC の仕組みを理解する

概要

以下のサイトがわかりやすく、参考になりました。

• DNSSECの仕組み | Cloudflare
• DNSSECの仕組みとKSKロールオーバへの対応

まとめると以下の図のようになります。

• ゾーン内のリソースレコードは、ゾーン署名鍵（ZSK）を使って検証
• ゾーン署名鍵（ZSK）のリソースレコードは、鍵署名鍵（KSK）を使って検証
• 鍵署名鍵（KSK）のリソースレコードは、親の鍵署名鍵（KSK）を使って検証
• ルートゾーンの鍵署名鍵（KSK）は、トラステッドアンカーとしてDNSSECルート署名セレモニーにて厳格なプロトコルを守った上で管理・信頼
• ルートゾーンの鍵署名鍵（KSK）は、信頼できる方法で配布

ルートゾーンKSKロールオーバー

DNSSEC の仕組みを理解すると、ルートゾーンにおける鍵署名鍵（KSK）の移行（ロールオーバー）の与える影響がかなり大きいことがわかります。

過去には 2018 年 10 月に実施されており、DNSSEC 実装後の初めてのイベントでした。

• KSKロールオーバーについて - JPNIC
• 今夜25時に迫った「DNSの世界的な運用変更」、ネット史上初の「ルートゾーンKSKロールオーバー」による利用者への影響は？ - INTERNET Watch

今後も数年ごとに更新されるイベントが発生する予定です。

• ICANNが将来のルートゾーンKSKロールオーバーに関するパブリックコメントを募集しています – JPNIC Blog

  • この提案ではKSKロールオーバーの間隔を3年とする案になっています。
    また、KSKのライフサイクルについても提案されており、署名に使用する時期よりもかなり前から鍵を生成する案も挙げられています。提案では、事前公開に2年間、署名に使用する期間を3年間、 失効してから削除までの期間を1年間とする案になっています。

また、ニュースになった際に楽しみしておきたいと思います。

• [第116回IETF Meeting報告] DNS関連WG・BoF・サイドミーティングの状況 | 2023年 | ドメイン名関連会議報告 | ドメイン名関連情報 | JPRS

  • 今後のスケジュールとして、2023年から2025年に実施される次回のルートゾーンKSKロールオーバー