50_dialy:2017:08:22

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

--- 50_dialy:2017:08:22 [2017/08/22 04:00] – 作成 matsui
+++ 50_dialy:2017:08:22 [2017/08/22 04:01] (現在) – matsui
@@ 行 1: / 行 1: @@
+====== 2017.08.22 KSKロールオーバーについて ======
+===== KSK更改 =====
+ルートゾーンに含まれる鍵(KSK)が新しくなります(トラストアンカーの更新)。
+一部のDNS応答のサイズ(DNSKEYの応答)が一時的に大きくなります(DNS応答サイズ増大への対応)。
+https://www.nic.ad.jp/ja/dns/ksk-rollover/
+===== DNSSECのしくみ =====
+DNSSECのしくみは一言で言えば、
+　「応答を受け取ったサーバーが、その情報が本当に正しいものかを
+　　確かめて、情報の信頼性を向上させるしくみ」です。
+DNSサーバーから返信された情報が正しいかどうかを検証できれば、
+「DNSキャッシュポイズニング」を防ぐことができます。
+http://www.itbook.info/network/dns5.html
+・やること
+トラストアンカーの自動更新
+<code>
+/etc/init.d/unbound stop
+unbound-anchor -a "/etc/unbound/root.key"
+# grep auto-trust-anchor-file: /etc/unbound/unbound.conf
+	 auto-trust-anchor-file: "/etc/unbound/root.key"
+/etc/init.d/unbound start
+</code>
+==== 今後の流れ ====
+/6/20	第1回ZSK事前公開
+/9/19	第2回新ZSK事前公開（DNSKEYパケットサイズが1424バイトまで増加）
+/10/21	新KSKの利用開始
+/1/11	旧KSKの失効開始（トラストアンカー未更新の場合、検証失敗の可能性）
+/3/22	旧KSKの完全削除（移行完了）
+{{tag>unbound dns}}