DNSSECの公開鍵更新でトラブルが発生する可能性、事前の検証を推奨

　9月19日にDNSSECで使用されるゾーン署名鍵の更新が行われるのだが、その影響でネットワーク関連のトラブルが発生する可能性があるとし、総務省が注意喚起を行っている（ITmedia、ZDNet Japan）。

　DNSSECは、インターネット上における名前解決を行うDNSにおいて、電子署名を用いた信頼性検証を実現する技術。これを利用することで、本来意図していないサーバーに気付かずにアクセスさせるような攻撃を防ぐことができる。

　DNSSECではゾーン署名鍵（ZSK）と鍵署名鍵（KSK）の2つの公開鍵が使われており、ZSKは3か月ごと、KSKは5年ごとに更新される（日経ITpro）。KSKの更新は今回が初めてとのことだが、この更新のタイミングでDNSSECで使われる「DNSKEY応答パケット」という公開鍵が含まれるパケットに新旧のKSKおよびZSKが含まれることで、パケットサイズが1400バイトを超えてしまい、ネットワーク環境によってはIPパケットの分割（IPフラグメンテーション）が発生する可能性があるという。これによってパケットを受け取れず、通信障害が発生する可能性があるという。

　対応策としてはDNS関連のソフトウェアを最新版に更新しておく、「NDSSECのトラストアンカーの自動更新」を有効にしておく、IPフラグメントによる名前解決の失敗が発生しないかを事前に確認しておく、などが提案されている。

　スラドのコメントを読む | ITセクション | インターネット | IT

　関連ストーリー：
DNSのCAAリソース・レコード、使っていますか? 2017年03月18日
DNSサーバー管理・運用サービスを手がけるDynにDDoS攻撃、影響でTwitterなどがアクセスしにくい状態に 2016年10月24日
DNSキャッシュ汚染に関する脆弱性が公表さる 2008年07月10日