DNSSEC の root キーが新しいキーに変更になる

Issue

ICANN は、Root Zone KSK Operator DNSSEC Practice Statement で必要とされている root ゾーンの DNSSEC (Domain Name System Security Extensions) KSK ロールオーバーを実行することを計画しています。

KSK (Key Signing Key) または DNSSEC root キーは新しいキーに変更になり、DNSSEC をサポートする DNS ソフトウェアでこのキーをハードコードする必要があります。RHEL の場合は、DNSSEC 検証を行っている名前解決サービスを提供しているシナリオにおける bind パッケージと unbound パッケージがこれに当たります。

KSK のローリングは、新しい暗号化を使用して公開鍵と秘密鍵のペアを作成し、新しい公開コンポーネントを、リゾルバーの検証を行うパーティにディストリビュートすることを示しています。これにはインターネットサービスプロバイダー、企業のネットワーク管理者や DNS (Domain Name System) リゾルバーのオペレーター、DNS リゾルバーソフトウェア開発者、システムインテグレーター、root のトラストアンカーをインストールまたはリリースするハードウェアおよびソフトウェアのディストリビューターが含まれます。KSK は、暗号を使用して Zone Signing Key (ZSK) を署名するのに使用されます。これは、root ゾーンメンテナーが、インターネットの DNS の root ゾーンに DNSSEC 署名を追加するのに使用されます。

DNSSEC root キーを最新の状態に維持することは、DNSSEC 検証を行っている DNS リゾルバーがロールオーバー後にも機能しつづけるために必要になります。現在の root ゾーンの DNSSEC root キーがないと、DNSSEC 検証を行っている DNS リゾルバーが DNS クエリーを解決できなくなります。

ICANN は、Preparing Your Systems for the Root KSK Rollover に情報動画を作成しました。