PR

 2010年7月15日(米国時間)、DNSの頂点に位置するルートゾーンで、DNSSECが正式に稼働し始めた。DNSSECは、DNS応答のなりすましによる攻撃などを防ぐセキュリティ拡張機能(関連記事)。ルートゾーンでの正式稼動で検証が容易になり、DNSSECへの対応が進むと見られる。

 ルートゾーンの運用を担当するICANN(Internet Corporation for Assigned Names and Numbers)や米ベリサインが運用するWebサイトRoot DNSSECによると、すでに2010年の5月初めから全世界に13あるDNSルートサーバーで、ダミーの署名データを使ってDNSSECが試験運用されていた。7月15日にこれを正規の署名データに変更し、キャッシュDNSサーバーに設定するためのルートゾーンの公開鍵(トラストアンカー)が公開された。これによって、ルートゾーンにおいてDNSSECが正式に稼働したことになる。

 日本ネットワークインフォメーションセンター(JPNIC)は「ルートゾーンへのDNSSEC署名の追加について」という情報を公開し、ルートゾーンでDNSSECが稼働することのメリットを説明している。それによると、これまでは各トップ・レベル・ドメイン(TLD)が個別にDNSSECへの対応を開始していた。ただし、ルートゾーンへの署名データがない状態でDNSSECの検証を実行しようとすると、各TLDが公開しているゾーンごとの公開鍵を、問い合わせ側のDNSが個別に入手して設定しなければならなかったという。DNSの最上位に位置するルートゾーンにDNSSECの署名データが追加されたことで、問い合わせ側はルートゾーンの公開鍵を設定しさえすればよくなるため、検証が容易になるとしている。

◎参考情報
Root DNSSEC
ルートゾーンへのDNSSEC署名の追加について(JPNIC)