ルートゾーンKSKロールオーバーによる影響と確認方法について

株式会社NTTPCコミュニケーションズ
2017年9月15日

お問い合わせいただいたお客さまにはご案内差し上げておりますが、
2017年9月19日より、ルートゾーンからの一部のDNS応答のサイズが一時的に増加する変更作業が行われます。
この作業により、ルートゾーンから転送される一部のDNS応答のサイズが一時的に大きくなります。
大きくなったDNS応答を正しく受け取れない場合、 DNSSECに関わる通信に悪影響が出る可能性があります。
その結果、インターネットの利用に問題が発生します。
またDNSSEC検証を有効にしている場合に、 古いKSKを使い続けていると正常に検証できなくなります。

弊社のDNSサーバーおよび経路上のNW機器につきましては本件による影響がないことを確認しておりますので、ご安心ください。

なお、SuitePRO V1～4、VPSクラウドをご利用のお客さまにおきましては、仮想専用サーバーにて弊社以外のDNSサーバーを指定している場合、影響を受けないかご確認されることをおすすめいたします。

※Suite/2/X、メールホスティング、サイトアドバンスをご利用のお客さまはこれ以降の対処は必要ございません。

■確認方法

次のいずれかの方法にてお客さまの環境が本件の影響を受けるかどうかを確認することができます。

参考：JPNIC - KSKロールオーバーについて
https://www.nic.ad.jp/ja/dns/ksk-rollover/

結果についてはお客さま環境により異なり、対処方法等につきましてはサポート対象外となります。
お客さまご自身で解決をお願いします。

【手順１】

テスト可能な環境からブラウザを立ち上げて、確認WEBサイトをクリックしてください。
http://keysizetest.verisignlabs.com/

#4 の段まで緑色の判定がされれば本事象の対象外のため問題ありません。
なお、#5 の段は必ず失敗するようになっているため支障はありません。

【手順２】

自分が運用している確認対象のDNSサーバにて次のコマンドを実行してください。
こちらはdigの実行例です。 reply size limitの値が1424より大きいことを確認できれば問題ありません。

# dig +bufsize=4096 rs.dns-oarc.net txt +short

rst.x4090.rs.dns-oarc.net.
rst.x4060.x4090.rs.dns-oarc.net.
rst.x4066.x4060.x4090.rs.dns-oarc.net.
“2001:2c0:11:1::c90 DNS reply size limit is at least 4090”　　　←　ここが1424より大きいこと
"Tested at 2017-08-29 09:26:42 UTC"
"2001:2c0:11:1::c90 sent EDNS buffer size 4096“

■影響を受ける判定がされ、かつお客さまご自身で対処が困難な場合

ルートゾーンからの一部のDNS応答のサイズが一時的に増加する期間（2017年9月19日～2018年3月末）は、影響を受けない弊社DNSサーバーをご利用されることをおすすめいたします。
こちらはサービス開通後の初期値として設定されているDNSサーバーとなります。

• SuitePRO V1～2

プライマリ：202.229.78.42
セカンダリ202.229.78.34

• SuitePRO V3～4、VPSクラウド

プライマリ：210.150.255.28
セカンダリ：202.229.78.37

■参考

• 総務省 - DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性

http://www.soumu.go.jp/menu_news/s-news/02kiban04_04000212.html