DNSのルートゾーンにおけるKSK (Key Signing Key)の更新について、対応の必要性の有無および影響について教えてください。

■概要
　DNSのルートゾーンにおけるKSK (Key Signing Key)の更新に伴い必要になるキャッシュ
　DNSサーバの設定について、Express5800/MW,InterSec/MW, InterSecVM/MWに影響がある
　ものが含まれています。影響を回避するために下記の対策を実施してください。

■詳細
　DNSは、ホスト名(人が理解しやすいようにつけたサーバーの名前)をインターネットの
　IPアドレスに変換する際などに利用される仕組みです。検索結果を第三者の成りすまし
　により改ざんされないよう、電子署名を付ける「DNSSEC」という仕組みを利用します。
　電子署名の正当性を検証するために使う鍵の中で最上位となるルートゾーンにおけるKSK
　は危殆化を防ぐため更新が実施されます。DNSSEC機能を有効化しているキャッシュDNS
　サーバーがこのKSKの更新を行わないと、DNS応答を正しく検証できなくなるため、DNSを
　利用する各種サービスに影響を与えることが考えられ、対応が必要になります。
　Express5800/MW,InterSec/MW, InterSecVM/MWの提供するDNSサービスをキャッシュDNS
　サーバーとして利用している場合は、「■影響有無の確認方法」に記載した手順にて
　影響の有無を確認し、影響が有る場合には対策をとる必要があります。

■影響有無の確認方法
　DNSサービスの設定ファイルのoptions{}に以下の設定が無い場合、影響があると
　考えられます(*1)。
　----------------------
　dnssec-enable no;
　dnssec-validation no;
　dnssec-lookaside no;
　----------------------

　なお、InterSecVM/MW V1.0はデフォルトでDNSSEC機能は無効のため、影響はありません。

■影響が有る場合の対策

1)DNSSEC機能を有効化している場合

1.1)設定ファイルのoptions{}に以下を設定してください(*1,*2)。
　----------------------
　dnssec-enable yes;
　dnssec-validation auto;
　----------------------

1.2)鍵情報を保存するため、ファイルの書き込み権を追加します。
　サーバーにログインし、管理者(root)で次のコマンドを実行してください。
　------------------------------------------
　chmod 0750 -R /var/named/chroot/var/named
　------------------------------------------

1.3)DNSサービスが4096オクテットのDNS応答を受信できるか確認する。
　まず、設定ファイルに次の設定が無いことを確認します(*1)。
　----------------------
　edns no;　　　　　　　　　　(*3)
　----------------------

　つぎに、次のいずれかの方法で4096オクテットのDNS応答を受信できるか確認します(*4)。

　①WEBから確認する場合
　　次のURLにアクセスします。4番目の項目まで"PASS"と表示されることを確認します。
　　<http://keysizetest.verisignlabs.com/>

　②コマンドラインから確認する場合
　　次のコマンドを実行し、応答を得られることを確認します。
　　--------------------------------------------
　　dig +bufsize=4096 rs.dns-oarc.net txt +short
　　--------------------------------------------

2)DNSSEC機能を無効化する場合

2.1)設定ファイルのoptions{}に以下を設定してください(*1)。
　----------------------
　dnssec-enable no;
　dnssec-validation no;
　dnssec-lookaside no;
　----------------------

　*1) Management Console(システム管理者)の
　　　「サービス > ネームサーバ(named) > named.confの直接編集」画面から確認や編集を
　　　行います。
　*2) 「dnssec-enable yes;」は省略可能です。
　*3) 設定がある場合、設定を削除するか、"no"を"yes"に変更します。
　*4) 4096オクテットのDNS応答を受信できない場合、通信経路の機器などの設定を確認
　　　します。

■関連情報
　・「DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性」
　　　<http://www.soumu.go.jp/menu_news/s-news/02kiban04_04000212.html>
　・「KSKロールオーバーについて」
　　　<https://www.nic.ad.jp/ja/dns/ksk-rollover/>

Express5800/MW400h
Express5800/R110d-1M(MW400h2)
InterSec/MW400i
InterSec/MW400i2
InterSec/MW400j
InterSec/MW400k
InterSecVM/MW V1.0
InterSecVM/MW V2.0 for VMware
InterSecVM/MW V2.0 for Hyper-V
InterSecVM/MW V2.1 for Hyper-V
InterSecVM/MW V3.0 for VMware
InterSecVM/MW V3.0 for Hyper-V
InterSecVM/MW V4.0 for VMware
InterSecVM/MW V4.0 for Hyper-V