ネットワークエンジニアの備忘録

トラブルや気になった点をメモしておきます。

2017/10/11 DNS問題

キャッシュDNSサーバの管理者は2017/9/19と同様に、2017/10/11にDNSのトラブルが起きないか確認が必要です。

9/19にはDNSの応答サイズが1400オクテットを超える可能性があります。該当サーバが対象かどうかは以下のサイトにアクセスし、4つめまでPASSが出れば問題無いです。

http://keysizetest.verisignlabs.com/

f:id:hy0:20170915234735j:plain

10/11には新しいKSKにより署名に切り替わります。そのため、DNSSEC検証を有効にしている場合は10/11までに新KSKのトラストアンカー(DNSゾーン署名者の公開鍵)が追加されている必要があります。

BINDやUnboundなど、 多くのキャッシュサーバはデフォルトでDNSSEC検証が有効になっているので注意して下さい。

DNSSEC検証が有効になっている場合は以下について確認が必要です。

・更新後のルートゾーンのKSKが存在するか。
・自動更新機能であるRFC5011の機能が有効になっているか。

[手動更新の場合]

BINDの場合、named.confのtrusted-keysディレクティブで鍵を指定します。
Unboundの場合、/etc/unbound/root.keyとして鍵を置きます。 またはunbound-anchorコマンドを利用して更新します。

[RFC5011による自動更新の場合]

BINDの場合、named.confのmanaged-keysディレクティブで現在の鍵(KSK-2010)を指定します。 その後、作業ディレクトリ中のmanaged-keys.bindに更新後の鍵(KSK-2017)が追加されているか確認します。

Unboundの場合、 auto-trust-anchor-fileで現在の鍵(KSK-2010)を指定します。 更新後の鍵(KSK-2017)が上記ファイルに追記されるので確認します。

 

本問題はipv4/ipv6にかかわらず発生する可能性があります。ipv6を使用している場合も注意して下さい。