SOA シリアルの巻き戻し (2)

•  DNSSEC 化する前にシリアル番号を巻き戻す

–  もちろん、もともとYYMMDDnnでなかった、DNSSEC化しても unixtime形式は使わない、という場合は不要

•  RFC1982 Serial Number Arithmetic

–  詳細な説明は割愛します

•  「DNS シリアル巻き戻し」などのキーワードで検索すると詳しく解説されているサイトが見つかります

–  簡単な手順

•  現行のシリアル番号の値に 2^31-1 を加えてslaveにゾーン転送

•  足した結果が 2^32 を越えたらその分減算

•  目的のシリアル番号に変更して再度ゾーン転送

DNSSEC 対応キャッシュサーバの構築

•  DNSSEC 署名しても、それを検証してくれるサーバがないとうまく動いているのか確認ができない

–  新たに構築してもいいし、既存キャッシュサーバの設定変更でもよい

•  具体的な構築方法については割愛

•  テスト時には、上位ゾーンに DS レコードを登録するかわりにキャッシュサーバへのトラストアンカー設定で済ませることができる

–  重要なドメインをぶっつけ本番でDNSSEC化したり、テストのために新規ドメインを取得しなくても、既存ドメインにテスト用のサブドメインを作ってそこでテストすればよい

練習してみよう

•  本番ドメインを DNSSEC 化する前に、テスト用ドメインで練習してみる

–  本番ドメインと同じレジストラで同じTLDのドメインを取得することが可能ならば、本番と同じ流れでDS登録も可能

–  が、テストでは手元のキャッシュサーバにトラストアンカーを設定する程度でも十分なことが多い

•  こんな練習をやってみる

–  鍵の生成、署名、ロールオーバーをひととおりやってみる

–  わざと手順を間違えてみて、どんな現象が発生するか、どうリカバリーすればいいか考える

•  本番ドメインを DNSSEC 化した後も、練習ドメインは残しておくとよい

–  KSKロールオーバーなんて年に1回しかやらないので、どうせ次回更新時には記憶が薄れている

本番ドメインを DNSSEC 化してみる

•  練習がうまくいったらいざ本番

•  DS レコード登録前に最終確認

–  署名を開始しても、上位ゾーンにDSを登録するまではDNSSECの検証はおこなわれないのでミスしても大丈夫

–  かわりに手元のキャッシュサーバにトラストアンカーを設定して、署名やロールオーバーなどひととおり試してみる

–  問題ないという自信があってテストを省略する場合でも、最低限ネガティブキャッシュのTTL以上は待つ

•  ただし、未パッチの qmail による配送不能問題は、 DS を登録しなくても、署名が開始された時点から発生するようになる

–  影響を確認しておく

•  問題ないようならば、 DS レコードを登録する

–  これでDNSSEC対応完了です! おめでとう!

検証に失敗する …

•  以下の点を確認

–  ゾーン編集後の再署名を忘れていないか –  署名の期限が切れていないか

–  署名やロールオーバーの手順に間違いはないか

–  KSKと上位ゾーンに登録してあるDSレコードの対応は正しいか

•  検証に成功するキャッシュサーバと失敗するキャッシュサーバが混在している

–  DNSKEYやRRSIGのキャッシュ状態によって検証結果が変わる

–  ロールオーバー作業時に、十分な待ち時間が経過していないうちに次のステップに進んでしまった、など

–  とくに、DS更新は「レジストラに変更依頼を出した時刻」ではなく、

「DSが切り替わったことを自分の目で確認した時刻」を起点に時間をカウントするべき

DNSSEC をやめる手順

•  すぐにはリカバリーが難しそうならば、いったん DNSSEC を止めてしまうのもひとつの選択肢

–  もちろんその場合はDNSSECによる守りはなくなるので、実際にそうするかどうかはサイトのポリシーによって判断する

•  上位ゾーンから DS レコードを削除する

•  DS が消えてもキャッシュが残っているうちは署名を続ける

–  ゾーンを変更したら再署名する

–  署名有効期限が近づいたら再署名して期間を延ばす

•  DS TTL が過ぎてキャッシュが消えた時点で終了

–  ゾーンファイルを未署名のものに戻す

•  .jp の場合、 DS TTL は 24 時間

–  TLDによって異なるので要確認

鍵の紛失

•  サーバのディスク故障などで秘密鍵にアクセスできなくなってしまった …!

•  DS 削除で DNSSEC を止める

•  あるいは、一時的に検証失敗することを承知した上で、正規のロールオーバー手順を踏まずに鍵を切り替える

•  秘密鍵をバックアップしておくと、そのような事態にも対応できる

–  が、鍵のコピーを作るということは、漏洩経路が増えるということも同時に意味することに注意

–  バックアップもオリジナルと同等のセキュリティで管理する

ドキュメント内 1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳 (ページ 41-48)

• DNSSEC 化する前にシリアル番号を巻き戻す

• RFC1982 Serial Number Arithmetic

DNSSEC 対応キャッシュサーバの構築

• DNSSEC 署名しても、それを検証してくれるサーバがないと うまく動いているのか確認ができない

• 具体的な構築方法については割愛

• テスト時には、上位ゾーンに DS レコードを登録するかわりに キャッシュサーバへのトラストアンカー設定で済ませることが できる

練習してみよう

• 本番ドメインを DNSSEC 化する前に、テスト用ドメインで練習 してみる

• こんな練習をやってみる

• 本番ドメインを DNSSEC 化した後も、練習ドメインは残してお くとよい

本番ドメインを DNSSEC 化してみる

• 練習がうまくいったらいざ本番

• DS レコード登録前に最終確認

• ただし、未パッチの qmail による配送不能問題は、 DS を登録 しなくても、署名が開始された時点から発生するようになる

• 問題ないようならば、 DS レコードを登録する