DNSSEC 2011 スプリングフォーラム プログラム確定

来週 4/20 (水) 開催の DNSSEC 2011 スプリングフォーラム のプログラムが決まりました! ページ をご覧ください。

DNSSEC 2011 スプリングフォーラム開催

この度 DNSSEC ジャパン (DNSSEC.jp) では DNSSEC 2011 スプリングフォーラムを下記の通り開催致します。開催趣旨にご賛同いただける皆様のご出席をお待ちしております。

開催趣旨

2008年7月に行われたカミンスキー型 DNS キャッシュ汚染攻撃手法の発表に端を発し、世界的に DNSSEC 導入の機運が高まっています。 2010年7月にはルートサーバにおいてルートゾーンが署名され、既に .net, .org, .jp といった TLD においても DNSSEC の導入が進んでいます。 その状況に鑑み、日本においては2009年11月に DNSSEC ジャパン (DNSSEC.jp) が設立され DNSSEC の運用技術の課題解決に向けた活動を行っています。 本イベントでは昨年7月の DNSSEC 2010 サマーフォーラムに引き続き DNSSEC ジャパンの活動を紹介するとともに、DNSSEC に関する最新の情報を共有することを目的として、DNSSEC の運用に興味を持つ人を対象に情報交換のためのイベントを開催致します。

開催概要

名称 : DNSSEC 2011 スプリングフォーラム 主催 : DNSSEC ジャパン 日時 : 2011年4月20日 (水) 14:00-18:00 (13:30開場) 会場 : . . . → Read More: DNSSEC 2011 スプリングフォーラム開催

技術検証WG資料追加

DNSSECジャパン 技術検証WG では、DNSSECの導入・運用における課題の整理・検討を行っています。 活動の一環として、作成した報告書や資料等を 資料 - 技術検証WG のページにて公開しています。 今回、1つの文書を追加しましたので、お知らせします。

DNSSECツール調査報告 DNSSEC に対応するツールやサービス、ライブラリの調査を行いました。その結果をとりまとめたものです。(pdf形式, 172kB, 10p)

こちらの資料につきましては免責事項ページをご参照の上、ご利用ください。

技術検証WG資料追加

DNSSECジャパン 技術検証WG では、DNSSECの導入・運用における課題の整理・検討を行っています。 活動の一環として、作成した報告書や資料等を 資料 - 技術検証WG のページにて公開しています。 今回、2つの文書を追加しましたので、お知らせします。

キャッシュDNSサーバDNSSEC導入ガイドライン キャッシュDNSサーバへのDNSSEC導入についてのガイドラインをまとめました。(pdf形式, 180kB, 8p)

DNSサーバDNSSEC導入Load Balancer機能チェックリスト DNSサーバへのDNSSEC導入に伴い、DNSサーバ上位のNW機器においても考慮しなければならない確認事項をとりまとめました。(pdf形式, 193kB, 7p)

こちらの資料につきましては免責事項ページをご参照の上、ご利用ください。

9.7.1〜9.7.2-P3までのBIND 9にDoS攻撃を可能にする脆弱性 – 緊急パッチ適用を強く推奨 -

ISC が Server Lockup Upon IXFR or DDNS Update Combined with High Query Rate ということでアナウンスを出しています。

JPRS からは日本語による情報の掲載がありました。

■(緊急)BIND 9.7.xの脆弱性を利用したサービス不能(DoS)攻撃について – 9.7.3へのバージョンアップを強く推奨 – <http://jprs.jp/tech/security/bind97-vuln-ixfr-and-dynamic-update.html>

対象は 9.7.1 から 9.7.2-P2 までのバージョンの BIND9 です。一時的な回避策も提示されていますが、これを適用した場合サービス性能が低下します。 本質的な解決として、早急に 9.7.3 にアップデートすることを強く推奨します。

技術検証WG資料更新

DNSSECジャパン 技術検証WG では、DNSSECの導入・運用における課題の整理・検討を行っています。 活動の一環として、作成した報告書や資料等を 資料 - 技術検証WG のページにて公開しています。 今回、1つの文書を更新しましたので、お知らせします。

DNSSECを利用するリゾルバーのためのトラストアンカーの設定方法について 第2版 DNSSECを利用するDNSキャッシュサーバ(またはリゾルバー)のために、現段階でよいと考えられる、トラストアンカーのデータを入手し確認する方法を説明しています。 第2版では、ルートゾーンの最新情報、KSKの更新等について「■9. 日常的な運用のために」を追加しました。(pdf形式, 160kB, 5p)

こちらの資料につきましては免責事項ページをご参照の上、ご利用ください。

.jpゾーンへの署名鍵(DSレコード)登録受け付け、公開開始

2011年1月16日から、.jpゾーンへ署名鍵を登録することができるようになりました。

これにて.jpゾーンにおけるDNSSEC導入が完了したということで、.jpゾーンのレジストリであるJPRSからプレスリリースが出ています。

JPRSがJPドメイン名サービスにDNSSECを導入 http://jprs.co.jp/press/2011/110117.html

筆者も早速自分の.jpドメインの署名鍵をJP DNSに登録してみました。 まずwhois DBの [Signing Key] が更新され、その後10分ほどでJP DNSにて該当ドメインのDSレコードを検索できる状態となり、めでたくDNSSEC対応が完了しました。

登録の前後には

VeriSign Labs の DNSSEC Debugger http://dnssec-debugger.verisignlabs.com/

Sandia Corporation の DNSViz – A DNS visualization tool http://dnsviz.net/

にて署名の有効期限切れ等を確認することをお勧めしておきます。

DNSSECジャパンでは、今後もDNSSEC導入や運用に関する情報の提供をしていきたいと考えています。 この機会にぜひDNSSECジャパンのRSSフィード http://dnssec.jp/?feed=rss2 をご購読ください。

Twitterアカウント(@dnssec_jp)のフォローも大歓迎です。

dnssec.jp signed!

dnssec.jpのDSレコードが.jpゾーンに登録され、DNSSECによる検証が可能な状態になりました!

今回、鍵管理については、下記のように運用することとしました。

ZSK: 暗号プロトコル: RSASHA256 鍵長: 1024bit 鍵更新: 事前公開方式にて行う

KSK: 暗号プロトコル: RSASHA256 鍵長: 2048bit 鍵更新: 二重署名方式にて行う

署名: 不在証明: NSEC3 NSEC3 の SALT: 署名/再署名時にランダムに決定

FireFox の addon、DNSSEC Validator で http://dnssec.jp/ を開くと、このように緑色の鍵が表示されるようになりました。

DNSSEC Validator: https://addons.mozilla.org/en-US/firefox/addon/dnssec-validator/

JPRS whoisからもdnssec.jpのDSレコードの情報を確認することができます。 Domain Information: [ドメイン情報] [Domain Name] DNSSEC.JP

[登録者名] 株式会社日本レジストリサービス [Registrant] Japan Registry Services Co.,Ltd.

[Name Server] ns1.dnssec.jp [Name Server] ns2.dnssec.jp . . . → Read More: dnssec.jp signed!

ルートゾーンに.jpゾーンのDSレコードが登録・公開されました

2010/12/10 13時30分ごろ(日本時間)、ルートゾーンに.jpゾーンのDSレコードが登録・公開されました。

これに伴い、JPRSからアナウンスが出ています。

(新規公開) ルートゾーンへの.jpゾーンのDSレコード登録・公開に伴う影響について <http://jprs.jp/info/notice/20101210-ds-published.html>

(更新) JPドメイン名サービスへのDNSSECの導入予定について <http://jprs.jp/info/notice/20090709-dnssec.html>

> dig jp ds @m.root-servers.net +short +norec 1369 8 2 1F3F4A66E954C27FB16DF88CA5EA0E88CA9384690BBCE3A6B7F54E9E 6BCA169B 1369 8 1 59E20603E1BBA03E0A42FF5648A517FD238AE6D9

ということで、12/10現在二つのDSレコードを確認することができます。

二つのDSレコードは共に.jpのKSK公開鍵から生成されており、ダイジェストタイプとして一方はSHA-1、他方はSHA-256を使用しています。

これでルートから.jpへの信頼の連鎖が繋がりました。

JPドメイン名サービスへのDNSSEC導入は順調に進んでいるようです。

来年2011/1/16の導入日が待ち遠しいですね!

[追記あり] 9.7.2-P2以前のBIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用したDoS攻撃について – 緊急のパッチ適用を強く推奨 -

(2010/12/15 追記) ISC が Update to CVE 2010-3613 というアナウンスを出しました。 今回の脆弱性を持つ BIND9 のバージョンを 9.0.x 以降の全てに拡大するとのことです。バージョンを確認の上、必要な対処を行うことを推奨します。 JPRS のアナウンスも更新されていました。ご参照ください。

ISC が BIND 9.7.2-P3, 9.6.2-P3, 9.6-ESV-R3 and 9.4-ESV-R4 are now available ということでアナウンスを出しています。

JPRS からは日本語による情報の掲載がありました。

■BIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用した DoS攻撃について – 緊急のパッチ適用を強く推奨 – <http://jprs.jp/tech/security/bind9-vuln-ncache-and-rrsig.html>

対象は BIND 9.7.2-P2 以前のバージョン (9.6.2 – 9.6.2-P2, 9.6-ESV – 9.6-ESV-R2, 9.7.0 – 9.7.2-P2) のBINDです。

該当するキャッシュDNSサーバーにおいてDNSSECによる検証を有効にしていない場合であっても対象となります。早急に 9.7.2-P3 にアップデートすることを強く推奨します。

. . . → Read More: [追記あり] 9.7.2-P2以前のBIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用したDoS攻撃について – 緊急のパッチ適用を強く推奨 -