総務省はこのほど、ICANN(Internet Corporation for Assigned Names and Numbers)が、DNS(ドメインネームシステム)において、電子署名の正当性を検証するために使う暗号鍵の中で最上位の鍵(ルートゾーンKSK)の更改を実施するため、キャッシュDNSサーバの設定を更新するよう呼びかけている。

今年3月から7月にかけて、検索結果が第三者のなりすましによって改竄されないよう、電子署名を付加した仕組み「DNSSEC」の正当性を検証するために使う「ルートゾーン KSK」について、信頼性を維持するため、史上初めて更改することが発表された。

これを受け、同省は、DNSを用いた検索を実際に行う「キャッシュ DNS サーバ」の運用者すべてに注意を喚起している。

鍵の公開に伴い、以下の2つがトラブルとして生じる可能性があるという。

  • 鍵の更改に追従できず、検索結果の正当性が確認できない(結果として、検索結果が「信用できない」ものとして取り扱われる)ため、Webサイトへのアクセスやメールの送信ができない利用者が生じる可能性がある

  • 鍵の移行期間において、「鍵の正当性を確認する情報」や「電子署名」について、旧来の鍵用と新しい鍵用の双方を送受信する必要があるため、その期間において検索結果として送受信されるデータ量が増大することから、検索結果をインターネット経由で正常に送受信できなくなり、Webサイトへのアクセスやメールの送信ができない利用者が生じる可能性がある

こうしたトラブルを回避するには、今年9月19日までに、次の対策をとる必要がある。

「鍵の更改」に追従するために、「キャッシュDNSサーバのソフトウェアを最新版に更新」「キャッシュDNSサーバにおいて、DNSSEC のトラストアンカーの自動更新を設定」「キャッシュDNSサーバにおいて、"DNSSEC"と"DNSSECの検証"が有効になっていることを確認」を実施する。

また、鍵の移行期間のデータ量増大に対応するために、「キャッシュDNSサーバに、UDP受信サイズを4096バイトの検索結果が受信できるよう設定(RFC6891による推奨設定)」「キャッシュDNSサーバで、4096オクテットの検索結果を受信できるか確認」を実施する。