ルートゾーンに含まれる鍵(KSK)が新しくなります(トラストアンカーの更新)。
一部のDNS応答のサイズ(DNSKEYの応答)が一時的に大きくなります(DNS応答サイズ増大への対応)。
DNSSECのしくみは一言で言えば、
「応答を受け取ったサーバーが、その情報が本当に正しいものかを
確かめて、情報の信頼性を向上させるしくみ」です。
DNSサーバーから返信された情報が正しいかどうかを検証できれば、
「DNSキャッシュポイズニング」を防ぐことができます。
http://www.itbook.info/network/dns5.html
・やること
トラストアンカーの自動更新
/etc/init.d/unbound stop unbound-anchor -a "/etc/unbound/root.key" # grep auto-trust-anchor-file: /etc/unbound/unbound.conf auto-trust-anchor-file: "/etc/unbound/root.key" /etc/init.d/unbound start
2017/6/20 第1回ZSK事前公開
2017/9/19 第2回新ZSK事前公開(DNSKEYパケットサイズが1424バイトまで増加)
2017/10/21 新KSKの利用開始
2018/1/11 旧KSKの失効開始(トラストアンカー未更新の場合、検証失敗の可能性)
2018/3/22 旧KSKの完全削除(移行完了)