2017/10/11 DNS問題
キャッシュDNSサーバの管理者は2017/9/19と同様に、2017/10/11にDNSのトラブルが起きないか確認が必要です。
9/19にはDNSの応答サイズが1400オクテットを超える可能性があります。該当サーバが対象かどうかは以下のサイトにアクセスし、4つめまでPASSが出れば問題無いです。
http://keysizetest.verisignlabs.com/
10/11には新しいKSKにより署名に切り替わります。そのため、DNSSEC検証を有効にしている場合は10/11までに新KSKのトラストアンカー(DNSゾーン署名者の公開鍵)が追加されている必要があります。
BINDやUnboundなど、 多くのキャッシュサーバはデフォルトでDNSSEC検証が有効になっているので注意して下さい。
DNSSEC検証が有効になっている場合は以下について確認が必要です。
・更新後のルートゾーンのKSKが存在するか。
・自動更新機能であるRFC5011の機能が有効になっているか。
[手動更新の場合]
BINDの場合、named.confのtrusted-keysディレクティブで鍵を指定します。
Unboundの場合、/etc/unbound/root.keyとして鍵を置きます。 またはunbound-anchorコマンドを利用して更新します。
[RFC5011による自動更新の場合]
BINDの場合、named.confのmanaged-keysディレクティブで現在の鍵(KSK-2010)を指定します。 その後、作業ディレクトリ中のmanaged-keys.bindに更新後の鍵(KSK-2017)が追加されているか確認します。
Unboundの場合、 auto-trust-anchor-fileで現在の鍵(KSK-2010)を指定します。 更新後の鍵(KSK-2017)が上記ファイルに追記されるので確認します。