DNSSECにおけるルートゾーンKSKの更新処理、延期に 27
ストーリー by headless
延期 部門より
延期 部門より
ICANNは9月27日、ルートゾーンDNSSECのKSK(鍵署名鍵)を更新するKSKロールオーバー計画で、10月11日に予定していた新KSKによるルートゾーン鍵セットの署名開始を延期すると発表した(ICANNの発表、
INTERNET Watchの記事、
JPRSの資料)。
これについて hylom 曰く、
これについて hylom 曰く、
最近の調査でキャッシュDNSサーバーの相当数がこれに対応できていないことが分かったためだという。少なくとも年内は新KSKによる署名は開始されず、新たな日程は2018年第1四半期を目処に調整中とのこと。
ICANNによれば、予定通りにKSKロールオーバーを実施した場合、世界のインターネットユーザーの4分の1に相当する7億5千万人が影響を受けるとのことだ。
意味のない延期 (スコア:0)
これまで対応してこなかったキャッシュDNSサーバーの相当数が来春になったら対応していると思ったのは何で?
Re:意味のない延期 (スコア:2, おもしろおかしい)
KSK(加速)すると思ったのでは
Re: (スコア:0)
KSK(結束)して移行に抵抗してくるのでは?
Re: (スコア:0)
kwsk
Re: (スコア:0)
ですな。無理やりソフト更新させるワームの開発が、その時期に完成するのかもしれないけど。
Re: (スコア:0)
それまでに周知活動を行えばなんとかなると思っているのだろう。
Re: (スコア:0)
「何回も周知しましたよね?」というエビデンスを作っている最中かと.
Re: (スコア:0)
だぁね
対応策自体が簡便でないないのだから
対応の処理も弊害の回避策も
アップデート一発でできるようにでもしなきゃ
いつまでたっても無理でしょうね
担当者の怠慢ってだけじゃなくアプリケーション側の対応をどうにかせんとね
bind• NSD • PowerDNS • Knot DNS • Yadifa • Unbound • PowerDNS recursor • Deadwood、etc...
そのうえでルーター等のメーカーへファームアップ圧力をかける
そんなこともせずにうまくいくわけもない
# ICANNの連中ってTLDゴロの頃よりなお頭悪くなってないか?
Re: (スコア:0)
NSDとPowerDNSとKnot DNSとYadifaは関係ないじゃないですかー
Re: (スコア:0)
圧力かけても人の意思って簡単に動かせないだろ。十分頭がよければ、対策などしなくてもすむようなDNSSECを考え出せたのかもしれないけどね。付け足し付け足しのDNSじゃもうどうにもならないんだろ。
Re: (スコア:0)
>十分頭がよければ、対策などしなくてもすむようなDNSSECを考え出せたのかもしれないけどね。
とっくに考え出されていて、RFC5011として規格化され、
主要なプロダクトには実装済みなんですが。
暗号鍵の定期更新ってのはDNSSECにかぎらず必要なものだけど、
SSLのルート証明書ですら自動更新はできず、こういうプロトコルが存在するDNSSECは
他に比べてはるかに先進的といえる。
にもかかわらず、それでもうまくいかない事例が相当数あった、というのが今回の延期。
Re: (スコア:0)
SSLのルート証明書ですら自動更新はできず、こういうプロトコルが存在するDNSSECは
他に比べてはるかに先進的といえる。
にもかかわらず、それでもうまくいかない事例が相当数あった、というのが今回の延期。
当初の定期更新規格の範囲外となるからでしょう
旧来のままでは更新したくても更新できないから
各自でゴニョゴニョやって新規格に対応させてくれよ
って無茶振りが原因なのでは?
確かに各ソフトウェアの新バージョンは
新規格に対応している
対応しているがしかし
コンバートしてくれるわけではないのだから
これじゃ早々に足並み揃えてスタートは無理ゲーだよね
Re: (スコア:0)
権威サーバー(NSD・PowerDNS・Knot DNS・Yadifa)とキャッシュ(Unbound・PowerDNS recursor・Deadwood)の区別もついてないバカの教育が先だろ(KSKロールオーバーは権威サーバーには関係ない)。
リストのパクリ元 [slideshare.net]ではちゃんと分けて書いてるのにわざわざ無視してる始末だからどうしようもないな。
Re: (スコア:0)
思ってないけど、この段階を踏んどけば後で旭川医大に訴えられても勝てるから
Re: (スコア:0)
ISC BIND Ver.9.12が正式リリースされることには、DNSのアップデートついでにKSKロールオーバーにも対応してくれるのではないかって勝手な期待からかも。
Re: (スコア:0)
じゃあ、ISC BIND ver.9.9がEOLになる2018年6月まで延期になるかもな。
Re: (スコア:0)
キャッシュサーバを自前運用って相当少なくね?
無視していいとまでは思わないけど無視していい範囲と思う
Re: (スコア:0)
全くです。
SSL1.0無効化散々延期した時と同じになるんではないかな?と。
Re: (スコア:0)
Netscape社がSSL 1.0を中止してSSL 2.0にするためにNetscape Navigatorのリリースをさんざん延期したとははつみみです
# もしかして: TLS 1.0
## 反対多数でお流れになったようだがTLS 1.3はやはりバージョン番号を4.0にすべきだったのではないか
KSK(鍵署名鍵) (スコア:0)
NHK(日本放送協会)とかKEK(高エネルギー研)と同じ?
Re: (スコア:0)
マジレスすると、Kagi Shomei Kagi の略ではなく、Key Signing Key の略ね。
前のストーリーでネタされてます [srad.jp]けど、
大丈夫なのか? (スコア:0)
まともにDNSのアプリケーションをアップデートしてなかったのだろうなあ。
アプライアンスか何かで、サポートが終了しているISC BIND ver.9.8以前のものを使っているとか、ありそうで怖いな。
そのうち、DNSのセキュリティーホールを突かれて乗っ取られるとか事件が起きそうだな。
Re:大丈夫なのか? (スコア:3, 興味深い)
DNSだけではありませんが、とあるアプライアンスを作っている会社の人です。
この手のアプライアンスの場合、既に対応済みのファームウェアは存在するが、ユーザ側が導入を拒否しているパターンも考えられます。
特に大手のユーザさんに多いのですが、大規模な再テストを要してしまうなどの理由で、機能面の変更を徹底的に嫌い、古いバージョンラインから頑なに移行を拒否されるユーザさんがいらっしゃいます。
セキュリティへの対応は継続していますし、それに必要なコストも(通常よりずっと高く)お支払いいただいているので問題はないのですが、ユーザさんもそのユーザさんのお客様も、そしてアプライアンスのベンダーも現時点の見た目では特に何も得をしないタイプの機能追加って、後回しどころか完全に忘れ去られるタイプの課題ですよね・・・・
Re:大丈夫なのか? (スコア:2, 参考になる)
そのアプライアンスを売っている人です
>この手のアプライアンスの場合、既に対応済みのファームウェアは存在するが、ユーザ側が導入を拒否しているパターンも考えられます。
エンドユーザ側で導入を拒否していることはほぼありません
どちらかというと導入業者がやりたくないパターンが多いです
Re: (スコア:0)
>コストも(通常よりずっと高く)お支払いいただいている
WWWの場合、巻き添え食うその他ユーザーに余計なコスト負担させてるんですよ。
数十倍でも「安過ぎる」と言いたいですね。
Re: (スコア:0)
対応できていないところには、DNSサーバだけの問題ではなくて経路上のネットワークの問題の場合もあるのだけど。
KSK (スコア:0)
DAIGO「呼んだ下位?」