昨年10月に実施されず延期していたKSKロールオーバー作業が10月12日午前1時（日本時間）に決定しました。

www.soumu.go.jp

以前も当ブログで記載しましたが、以下に当てはまる場合は注意が必要です。

• DNSSECによる署名の検証機能を有効にしたキャッシュDNSサーバーを運用している

当てはまる場合、2018年10月12日午前1時（日本時間）のルートゾーンKSKの更改後48時間以内に、未処置のキャッシュDNSサーバーを利用する者によるウェブサイトへのアクセスやメールの送信ができなくなるなどの問題が生ずる可能性があります。
DNSSECによる署名の検証機能を有効にしたキャッシュDNSサーバーについて、トラストアンカーのルートゾーンKSKの公開鍵の情報が更新されているか確認してください。

[手動更新]

BINDの場合、named.confのtrusted-keysディレクティブで鍵を指定します。
Unboundの場合、/etc/unbound/root.keyとして鍵を置きます。 またはunbound-anchorコマンドを利用して更新します。

[RFC5011による自動更新]

BINDの場合、 まずnamed.confのmanaged-keysディレクティブで現在の鍵を指定します。 そして、 作業ディレクトリ中のmanaged-keys.bindに更新後の鍵が追加されているか確認します。
Unboundの場合、 auto-trust-anchor-fileで現在の鍵を指定します。 更新後の鍵が上記ファイルに追記されるので確認します。

また、KSKロールオーバーの更新作業中に発生するDNS応答のサイズ増大に対応しているか確認が必要です。以下のサイトで5番目以外がPASSになるか確認してください。

DNSSEC Key Size Test