活動の一環として、作成した報告書や資料等を 資料 – 運用技術WG のページにて公開しています。
今回、2つの文書を掲載しましたので、お知らせします。

失敗事例研究まとめ
DNSSEC先行導入組織における失敗事例を調査および考察することで、将来DNSSECを導入する組織に対しての知見とすべく、失敗事例情報をまとめた。 (印刷用pdf形式, 720kB, 4p)

DNSSEC運用失敗事例の研究 総括
DNSSEC先行導入組織における失敗事例から得られた知見の総括 (印刷用pdf形式, 243kB, 5p)

こちらの資料につきましては免責事項ページをご参照の上、ご利用ください。

DNSSEC gTLD レジストラ移転実験報告
レジストラ移転ガイドライン に沿った形で実際に行ったレジストラ移転実験の報告を取りまとめました。(pdf形式, 163kB, 10p)

こちらの資料につきましては免責事項ページをご参照の上、ご利用ください。

活動の一環として、作成した報告書や資料等を 資料 – 運用技術WG のページにて公開しています。
今回、1つの文書を掲載しましたので、お知らせします。

リリース5以前の RedHat Enterprise Linux およびその互換 OS をセカンダリサーバとして用いるゾーンへの DNSSEC の導入にあたっての注意喚起
リリース5以前のRedHat Enterprise Linuxおよびその互換OSをセカンダリサーバとして用いているゾーンでDNSSECを有効にしたときに観測された問題点の提示と注意喚起 (印刷用pdf形式, 152kB, 5p))

こちらの資料につきましては免責事項ページをご参照の上、ご利用ください。

JPRS からは日本語による情報の掲載がありました。

■（緊急）BIND 9.7.xの脆弱性を利用したサービス不能（DoS）攻撃について
- 9.7.3へのバージョンアップを強く推奨 -
<http://jprs.jp/tech/security/bind97-vuln-ixfr-and-dynamic-update.html>

対象は 9.7.1 から 9.7.2-P2 までのバージョンの BIND9 です。一時的な回避策も提示されていますが、これを適用した場合サービス性能が低下します。
本質的な解決として、早急に 9.7.3 にアップデートすることを強く推奨します。

JPRS からは日本語による情報の掲載がありました。

■BIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用した
DoS攻撃について – 緊急のパッチ適用を強く推奨 -
<http://jprs.jp/tech/security/bind9-vuln-ncache-and-rrsig.html>

対象は BIND 9.7.2-P2 以前のバージョン (9.6.2 – 9.6.2-P2, 9.6-ESV – 9.6-ESV-R2, 9.7.0 – 9.7.2-P2) のBINDです。

該当するキャッシュDNSサーバーにおいてDNSSECによる検証を有効にしていない場合であっても対象となります。早急に 9.7.2-P3 にアップデートすることを強く推奨します。

先週、先々週に引き続き、2つの解説文書を追加しましたので、お知らせします。

RFC4431 The DNSSEC Lookaside Validation (DLV) DNS Resource Record.
DNSリソースレコード「DLV」

internet-draft DNSSEC Key Timing Considerations
DNSSEC鍵運用タイミングの考察
(draft-ietf-dnsop-dnssec-key-timing-00)

プロトコル理解SWGにて予定していた全てのドキュメントについての読み合わせと、解説記事の掲載が終了しました。プロトコル理解SWGのみなさま、お疲れさまでした!
今後はRFCの逐次訳の情報があり次第、リンクを貼っていくつもりです。

こちらの文書につきましては免責事項ページをご参照の上、ご利用くださいませ。

先週に引き続き、4つの解説文書を追加しましたので、お知らせします。

RFC5155 DNS Security (DNSSEC) Hashed Authenticated Denial of Existence.
(ハッシュ化された認証による存在否定 (NSEC3))

RFC5702 Use of SHA-2 Algorithms with RSA in DNSKEY and RRSIG Resource.
(DNSKEYとRRSIGSHA-2アルゴリズム)

RFC4986 Requirements Related to DNS Security (DNSSEC) Trust Anchor Rollover.
(DNSSECトラストアンカーロールオーバーに関する要件)

RFC5074 DNSSEC Lookaside Validation (DLV).

こちらの文書につきましては免責事項ページをご参照の上、ご利用くださいませ。

今回、4つの解説文書を追加しましたので、お知らせします。

RFC4034 Resource Records for the DNS Security Extensions.
(DNSセキュリティ拡張で使用するリソースレコード)

RFC5011 Automated Updates of DNS Security (DNSSEC) Trust Anchors.
(DNSSECトラストアンカーの自動更新)

RFC4641 DNSSEC Operational Practices.
(DNSSEC運用上の慣行)
internet-draft DNSSEC Operational Practices, Version 2.
(DNSSEC運用上の慣行 バージョン2)
(draft-ietf-dnsop-rfc4641bis-02)

RFC4509 Use of SHA-256 in DNSSEC Delegation Signer (DS) Resource Records (RRs).
(DNSSECのDSリソースレコードにおけるSHA-256の利用)

4641 とそのアップデートとなる 4641bis (02版) は一つの解説文書となっています。4641 の解説と、4641bis (02版) による修正追加箇所を明確に示した 179ページの大作です。4641bis には更に追加修正が入り、現在 04版が公開されています。ご利用の際にはご注意ください。

こちらの文書につきましては免責事項ページをご参照の上、ご利用くださいませ。

■(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合について
- ルートゾーンのトラストアンカー設定の前に、必ず9.7.1-P2への更新を -
<http://jprs.jp/tech/security/bind971-vuln-rrsig.html>
DNS関連技術情報
<http://jprs.jp/tech/>

ISC からも BIND 9.7.1-P2 is now available. ということでアナウンスが出ています。

対象は BIND 9.7.1 もしくは 9.7.1-P1 のみです。

トラストアンカーを設定し、キャッシュDNSサーバとしてDNSSEC検証を有効にした運用をされる場合は、必ず 9.7.1-P2 にアップデートをお願いします。