こんばんは。昨日のSNS＆ラジオネタについては、もう少し書いてみたいことがありますので、明日以降に続きを書いてみようかと思います。

　今回はITproでちょっと気になる記事が出てましたので、取り上げてみました。私自身も読み込めてませんので、表層的な内容になってしまいますが、その点御容赦下さい。

itpro.nikkeibp.co.jp

　「DNSが使えなくなる」という衝撃的なタイトルでした。1ヶ月ほど前にimpressのinternet watchの記事の方が詳しく書かれていますので、そちらを御参照下さい。

internet.watch.impress.co.jp

　DNSSECが関係してくるとのことです。DNSSECとは、「DNSの安全性を高めるための仕組み」です。DNSSECでは2つの鍵が用いられます。ゾーンに対して署名するZSK(Zone Signing Key)と、このZSKを署名する鍵であるKSK(Key Singing Key)の2つです。詳しいことは上記記事に譲りますが、問題になるのは、更新時期になるとリプライパケットが大きくなってしまうことです。新旧ZSK・KSKを含むパケットが1400バイトを超えるため、IPフラグメントが起きます。分割されたUDPパケットを正しく受信出来るかどうかという点が問題になってきます。

　「別にうちはDNSSEC使ってないし、関係ないはず。」と考える向きもあるかもしれませんが、IPフラグメントにより分割されたUDPパケットが受信出来なければ、名前解決に失敗します。IPフラグメントは間にあるネットワーク機器により起き得ます。ですので、無関係とは言い切れません。上記記事にもありますように、組織のDNSサーバでDNSSEC検証を有効にしていると、DNSKEYを受け取れずに名前解決に失敗する可能性があるそうです。BINDではデフォルトで有効になっていますので、今一度確認しておく必要がありそうです。

　9月19日に問題が起き得るかどうかをチェックする方法もimpressの記事の方に書かれていますので、そちらを御参照下さい。

　私の方も上記記事を読み直して、これからさらなる情報収集を行う予定にしています。何か新しい情報がありましたら、書いてみようと思います。