ICANN、ルートゾーンにおけるDNSSECの正式運用を開始

　インターネットのドメイン名を管理する非営利組織のICANNは日本時間の16日朝、ルートゾーンにおけるDNSSECの正式運用を開始した。

　DNSSEC（Domain Name System Security Extensions）は、DNSでやりとりされる情報について、それが正しい応答先からきたものかどうかやパケット内容が改ざんされていないかということを確認できるようにDNSの仕様を拡張するもの。具体的には、DNS応答に含まれる署名データを復号して得たハッシュ値と、受信データから算出したハッシュ値を照合し、合致するか否かで判定する。

　ICANNでは2010年1月から5月にかけて、13のルートサーバーに順次ダミーの署名データを設定し、DNSSEC導入の影響について調査・検討してきた。今回、正式な署名データに変更することで、DNSSECが正式に導入されたかたち。

　これに伴い、IANA（Internet Assigned Numbers Authority）が公開しているルートゾーンのトラストアンカー（公開鍵）をキャッシュDNSサーバーに設定することで、ルートゾーンのDNSSEC検証を有効化できるようになる。

　なお、BINDの一部バージョンにおいて、DNSSECに関連する不具合が見つかっている。バージョン「9.7.1」および「9.7.1-P1」をキャッシュDNSサーバーとして動作させ、かつトラストアンカーを設定している場合に影響を受けるという。BINDでキャッシュDNSサーバーを運用し、DNSSECのトラストアンカーを設定する場合は、「9.7.1-P2」へ更新する必要があるので注意が必要だ。このあたりの情報については、株式会社日本レジストリサービス（JPRS）のDNS関連記述情報ページでも情報を公開している。

　DNSSECについては、今後、JPなどのTLDでも導入が予定されている。