DNS(Domain Name System)は、インターネットの名前解決を担う重要なシステムだ。ところが、2017年9月19日にDNSのトラブルが発生する恐れが浮上している。そのキーになるのが「DNSSEC」(DNS SECurity extensions)という技術だ。

 DNSSECは、DNSの安全性を高める技術である。電子署名を利用してDNSから送られているデータの信頼性を検証することで、送信元の偽装を見抜く。日本での普及率は1割程度だが、8割以上普及している国もある。

 DNSSECは公開鍵暗号方式を利用する。ドメインの管理単位であるゾーンに署名するゾーン署名鍵の「ZSK」(Zone Signing Key)と、ZSKに署名する鍵署名鍵である「KSK」(Key Signing Key)の2種類の鍵を使う。DNSの委任の仕組みを利用し、ルートサーバー(ルートゾーン)を頂点として、上位の権威DNSサーバーが下位の権威DNSサーバーの公開鍵の信頼性を保証するようになっている。

 このルートゾーンの署名鍵のうち、KSKの更新計画を、ルートサーバーを運用しているICANNが進めている。ZSKは3カ月ごとに更新されているが、KSKの更新は5年ごとであり、今回が初めての更新だ。

 ルートゾーンのKSKの更新は、2017年7月1日から2018年3月31日にかけて段階的に実施されている。事前公開方式で新しいKSKを公開し、3カ月ごとのZSKの定期更新と並行してKSKの更新プロセスを実施。古いKSKを失効させることで最終的に更新を完了する。

公開鍵を受け取れなくなる

 DNSSECを利用するDNSサーバーの管理者にとって注意が必要なのは、KSKとZSKの交換時期が重なると名前解決にトラブルが発生する恐れがあることだ。