BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース コロナウイルスによってDNSSEC署名が中断される可能性

コロナウイルスによってDNSSEC署名が中断される可能性

原文(投稿日:2020/03/30)へのリンク

インターネットはDNSによって支えられており、DNSはwww.infoq.comなどのテキスト名をコンピュータがルーティングに使用するIPアドレスに変換する。暗号化されていない検証されていない通信によって提供されるDNSは、ネットワーク侵入者がトラフィックを他のホストに暗黙のうちにリダイレクトできるようにする容易なターゲットである。これに対処するために、RFC 40334034、および4035でDNSSECが作成された。

DNSSECは引き続き暗号化されていない通信によってDNSを提供するが、DNSゾーンのコンテンツに署名することでセキュリティレベルを高め、変更を検出できるようにする。DNSゾーンがネームサーバ間で転送されるとき、その署名をチェックして、ドメインゾーンが侵害されていないことを確認できる。

署名には、HTTPSサイトのように信頼のルートがあり、ICANNによって管理される信頼のルートになる。組み込みのブラウザルートと同様に、これらは自己署名付きルートであり、ルートネームサーバが使用する署名者のコンテンツをサポートし、委任先のゾーンに署名を提供する。

すべての適切な暗号化手順と同様に、Let's Encryptが自動更新HTTPS証明書の使用を普及させたのと同様に、これらのルートレベルのキーは定期的にローテーションされる。これらのキーはインターネットのインフラストラクチャにとって非常に重要であるため、これらのルートキーの再生成には、複数の人物とデータの侵害がないことを確認するためにライブストリーミングされるロックされた金庫にあるキーマテリアルを含むセレモニーが行われる。これらは3か月ごとに行われるため、主要な署名サイトでさまざまな国の人々と定期的に会議を行い、DNSSECが引き続き機能することを確認する必要がある。

残念なことに、現在の社会での旅行はコロナウイルスのために大幅に削減されており、アメリカ合衆国を含む多くの国は国境を越えた非市民には閉じられている。このことは、6月末までに予定されている次の署名プロセスがほぼ確実に実行できないことを意味している。2月の最後の会議で生成されたキーは6月末まで有効だが、6月以降もDNSSECを動作させるには、通常の手順を変更する必要がある。

現在の計画では、APNICブログに説明されるように、カリフォルニアのICANNスタッフにより、DNSSECを続行できるようにセキュリティボックスを保持するキーマテリアルに侵入する:

いくつかのオプションが検討されており、インプットが求められています。最も望ましくないが、同時に現在の状況で最も可能性が高いのは、カリフォルニアに拠点を置くICANNスタッフとおそらく鍵屋 (locksmith) だけがロサンゼルスの施設に行って強制的に行う障害復旧プロセスの一部を使用する方式です。必要な資格情報が含まれているセキュリティデポジットボックスにアクセスし (今回は金庫を強制的に開けることができるICANNスタッフのセットが現場にいると想定されるため、安全なドリルは必要ありません) 、他の全員が注意深く監視しながら署名を実行します。

これは標準的な方法のバリエーションだが、刻々と変化するこれらの時代では、さまざまなプロセスが必要になる場合がある。イベントがライブストリーミングされている場合は、旅行の制限が解除され、必要な定足数が発生するようになるまで、これを標準手順の変更として使用することもできる。障害への備えは標準的な慣行の一部だったが、アメリカ合衆国が国境を閉鎖し、旅行を妨げるという考えは、想定されていたものではなかった。

6月末に近づき、DNSSECを安全に継続することを許可するという合意に達する可能性がある。InfoQはフォローアップし、変更があった場合にはその結果をカバーする。

この記事に星をつける

おすすめ度
スタイル

特集コンテンツ一覧

BT