7月下旬に総務省より「
DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性」が発表されました。それを受けたIT系ニュースサイトでも話題に挙がったため、目にした方も多いと思われます。
DNSはドメイン名をサーバーに紐付けてくれるサーバなので、WebサーバーのDNSにトラブルが起こればWebサイトに障害が起こる可能性があり、またインターネットネット接続に使うDNSにトラブルがあればインターネットの閲覧も出来なくなります。Webに関わる方にとって他人事ではありません。
その概要と取るべき対応など紹介します。
概要
ICANN(インターネット資源の調整を行う世界的非営利団体)が
2010年に運用を開始した「DNSSEC」の最上位の暗号鍵が今年初めて更新されます。特定の国や環境に限らず全世界のインターネットへ影響があるため、DNSの運用者は対応が必要になります。
2017年9月19日より新しい仕様の影響が出始めるため、9月19日を期日として対応が進められています。
DNSSECとは
DNSサーバーから送られてくるIPアドレスとホスト名の認証や、データの完全性を確認できるようにセキュリティを拡張する機能です。データの偽装を検知することができるようになり、 DNSキャッシュポイズニングのような攻撃を防ぐことができます。
やるべきこと
日本レジストリサービスの資料の内容に沿って紹介します。
1. 自社ネットワークの確認
社内からインターネット接続する際にDNSを通している場合、またインターネットプロバイダーからDNSを通すよう指定されている場合、そのDNSが「
ルートゾーンKSKの更新」に対応されているか確認します。
以下URLにアクセスすることで確認できます。
http://keysizetest.verisignlabs.com/
以下の画像のように#1〜4までがPASSであれば対応されています。5は必ずFAILが出るテスト項目です。
2. ホスティングサーバーの確認
Webサイトを公開しているホスティングサーバーのDNSが「
ルートゾーンKSKの更新」に対応されているか確認します。サーバーへSSH接続し、以下のコマンドを打ちます。
dig +bufsize=4096 +short rs.dns-oarc.net txt
すると以下のような内容が返ってきます。
5行目にある「
at least」の後が
1424以上であれば問題ありません。
rst.x4050.rs.dns-oarc.net.
rst.x4058.x4050.rs.dns-oarc.net.
rst.x4064.x4058.x4050.rs.dns-oarc.net.
"192.0.2.1 sent EDNS buffer size 4096"
"192.0.2.1 DNS reply size limit is at least 4064"
"Tested at 2017-07-07 06:55:44 UTC"
※当記事を執筆している2017年8月初頭では、「rs.dns-oarc.net」へ世界中からコマンドが飛ばされているためか、サーバーが重く結果が返りにくくなっています。
SSH接続を利用できない場合
共用サーバーなどSSH接続が許可されていないホスティングサービスの場合、自分で確認することが出来ないためホスティング業者に「
ルートゾーンKSKの更新」について問い合わせて確認します。
3. DNSSEC検証を実施している場合、トラストアンカーの更新
DNSを自社運用しており、なおかつDNSSECを利用している場合は、ルートゾーンKSKロールオーバーにより、トラストアンカーの自動更新が初めて適用されます。
トラストアンカーの更新についてはソフトウェアごとに専門的な手順が必要になるため当記事では割愛します。以下の資料を参考にインフラエンジニアによる適切な対応を進めてください。
もし対応していなかったら
社内ネットワークのDNSならばネットワーク機器の更新、自社で立てたWebサーバーならばサーバーソフトウェアを最新版に更新します。
しかしプロバイダーやホスティングサービスのDNSは自分で干渉できないため、問い合わせて対応を依頼します。
まとめ
率直なところ、大手プロバイダーやホスティング会社は対応しなければ事業的にマズいため、ほぼ確実に対応してくれるので何もしなくて済む可能性は高いです。しかしDNSはWebサイトの命綱なので万全を期すため確認することが望ましいです。
大手以外のホスティングサービスや自社サーバーを構築している場合は確認対応が必須です。自社のエンジニアに状況を確認し対応を進めましょう。
