====== 2017.08.22 KSKロールオーバーについて ======

===== KSK更改 =====

ルートゾーンに含まれる鍵(KSK)が新しくなります(トラストアンカーの更新)。
一部のDNS応答のサイズ(DNSKEYの応答)が一時的に大きくなります(DNS応答サイズ増大への対応)。

https://www.nic.ad.jp/ja/dns/ksk-rollover/

===== DNSSECのしくみ =====

DNSSECのしくみは一言で言えば、
　「応答を受け取ったサーバーが、その情報が本当に正しいものかを
　　確かめて、情報の信頼性を向上させるしくみ」です。

DNSサーバーから返信された情報が正しいかどうかを検証できれば、
「DNSキャッシュポイズニング」を防ぐことができます。 

http://www.itbook.info/network/dns5.html


・やること
トラストアンカーの自動更新
<code>
/etc/init.d/unbound stop
unbound-anchor -a "/etc/unbound/root.key"

# grep auto-trust-anchor-file: /etc/unbound/unbound.conf
	 auto-trust-anchor-file: "/etc/unbound/root.key"

/etc/init.d/unbound start
</code>

==== 今後の流れ ====

2017/6/20	第1回ZSK事前公開
2017/9/19	第2回新ZSK事前公開（DNSKEYパケットサイズが1424バイトまで増加）
2017/10/21	新KSKの利用開始
2018/1/11	旧KSKの失効開始（トラストアンカー未更新の場合、検証失敗の可能性）
2018/3/22	旧KSKの完全削除（移行完了）

{{tag>unbound dns}}