ルートゾーンKSKのロールオーバー 日本語

ルートゾーンKSKのロールオーバー　日本語
【外部リンク】
https://www.icann.org/resources/pages/ksk-rollover-2017-05-31-ja
ルートゾーンKSKのロールオーバー

このページは以下の言語でもご覧いただけます。EnglishالعربيةEspañolFrançais日本語한국어PortuguêsPусский中文
Root Zone KSK Rollover
概要
リソース
参加のお願い
背景
ドラフトタイムライン
運用計画
コミュニケーション計画

ニュース
2017年3月13日 – ICANN、 KSKのロールオーバーに向けたテストプラットフォームを公開

2016年10月27日– KSKロールオーバーの運用開始

2016年9月19日 – Webを保護するための暗号鍵の初の変更（Motherboard）

2016年9月15日 – ICANN、大規模なDNSSECセキュリティアップデート用のWeb環境を準備（V3）

2016年8月25日 – インターネットを安全に利用するためのDNSSECマスター鍵が変更。ユーザーの対応は必要か?（Techworld）

その他のニュースを見る。

最新技術情報
2016年9月19日 – 2017 年のKSKロールオーバーテスト計画の第1段階を完了

概要
概要ビデオを視聴する。

ICANNは、ルートゾーンKSK運用者のためのDNSSEC実践書で求められているように、ルートゾーンドメインネームシステムのセキュリティ拡張（DNSSEC）KSKロールオーバーを実行する予定です [TXT、99 KB]。

KSKのロールオーバーとは、新しい暗号公開鍵と秘密鍵のペアを生成し、新しいパブリックコンポーネントをリゾルバの検証作業を運営するインターネットサービスプロバイダ、企業のネットワーク管理者および他のドメインネームシステム（DNS）リゾルバ運用者、DNSリゾルバソフトウェア開発者、システムインテグレータ、および ルートの「トラストアンカー」をインストールまたは出荷するハードウェアおよびソフトウェアディストリビューターなどの、当事者に配布することを意味します。KSKは、ゾーン署名鍵（ZSK）に暗号で署名するために使用されます。このZSKは、ルートゾーンメンテナーがインターネットDNSのルートゾーンにDNSSECで署名するために使用されます。

DNSSECで署名されたドメイン名がロールオーバーの後でも、有効で利用できるようにするには、最新のKSKを保守する必要があります。最新のルートゾーンKSKを使用しないと、DNSSECに対応する検証ツールがDNS応答が改ざんされているかどうかを検証できずに、すべてのDNSSEC署名クエリにエラー応答が返されます。

KSKロールオーバー計画は、ルートゾーンを管理する複数の団体によって策定されています。ICANNは、IANA機能運用者として、Verisignはルートゾーンメンテナーとして、米国商務省の電気通信情報管理局（NTIA）はルートゾーン管理者としての役割を担っています。NTIAの役割は、2016年10月1日に終了しました。KSKロールオーバー計画は、2016年7月に開示され、コミュニティのルートゾーンKSKロールオーバーの設計チームの推奨事項を取り入れています [PDF、1.01 MB]。

リソース
関連情報やその他のリソースについては、下記を参照してください。

クイックガイド: KSKロールオーバーに向けたシステムの準備 [PDF、 156 KB]
KSKロールオーバーの概要
KSKロールオーバー: 質問と回答
DNSSECルートゾーンKSKに関する推奨事項: https://www.iana.org/reports/2016/root-ksk-rollover-design-20160307.pdf [PDF、1.01 MB]
DNSSEC：https://www.icann.org/resources/pages/dnssec-2012-02-25-en
誰でもわかるDNSSEC -- ビギナーズガイド（ICANN55）:https://meetings.icann.org/en/marrakech55/schedule/sun-dnssec-everybody
DNSSECワークショップ（ICANN55）:https://meetings.icann.org/en/marrakech55/schedule/wed-dnssec
IANA - ルートゾーン管理:https://www.iana.org/domains/root
ルートゾーンにおけるDNSSEC鍵ロールオーバーに対するSSACの勧告: https://www.icann.org/en/system/files/files/sac-063-en.pdf [PDF、480 KB]
参加のお願い
ご質問について
メールの件名に「KSK Rollover」と記載して、globalsupport@icann.orgにメールでご質問をお送りください。

イベントへの参加
イベントカレンダを参照して、今後予定されているKSKロールオーバーに関するプレゼンテーションイベントをご確認ください。

ソーシャルメディアの活用
ハッシュタグ#KeyRollを使用して、関連するトピックの議論にご参加ください。https://twitter.com/icann

KSKロールオーバーのディスカッションリストへの参加
関連するトピックに関する公開ディスカッションに参加できるメーリングリストにサインアップしてください。https://mm.icann.org/listinfo/ksk-rollover

メッセージの拡散
このWebページを他のユーザーと共有し、KSKロールオーバーとその影響の周知にご協力ください。

背景
2009年、RZMパートナーが協力して、DNSSECをルートゾーンに展開しました。そして、最終的には2010年7月に認証可能な署名済みのルートゾーンが初めて公開されました。

ルートゾーンKSKの生成およびメンテナンス要件 [PDF、116 KB]、およびそれぞれのRZMパートナーの役割は、NTIAによって規定されました。それらの要件をルートゾーンメンテナー（Verisign）およびIANA機能運用者（ICANN） が満足するための手順については、別途、DPS (DNSSEC Practice Statement) として発表されています。Verisign DNSSEC署名サービスDPS [PDF、138 KB]およびルートゾーンKSK運用者DPS [TXT、99 KB]。

NTIAとICANNの間で締結されたIANA機能契約は、2010年7月に変更されて、ルートゾーンKSK管理に関する役割が追加されました。そして、それらの要件は、その契約の後続の改訂に引き継がれました。

NTIAとVerisignの間で締結された共同契約についても、VerisignのルートゾーンZSK運用者の役割を反映する形で、2010年7月に変更されました。

IANA機能契約により、ルートゾーンKSKロールオーバーが要求されましたが、詳細な要件や詳細なタイムラインや実装計画は提供されていませんでした。ルートゾーンKSK運用者のDPSにはこの件が記載されており、セクション6.5のロールオーバーに関する以下の要件に従うこととします。

「それぞれのRZ KSKは、要件に定められたキーセレモニーによって、または運用の5年後にロールオーバーされる。」
ドラフトタイムライン
これらのタイムラインは運用上の考慮事項に基づいて変更されることがあります。

2016年10月27日: 新しいKSKが生成され、KSKロールオーバープロセスが開始。
2017年7月11日:DNSで新しいKSKを公開。
2017年9月19日:ルートネームサーバーからのDNSKEYレスポンスの規模を増大。
2017年10月11日:新しいKSKによるルートゾーン鍵セットの署名開始（実際のロールオーバーイベント）。
2018年1月11日:古いKSKの失効。
2018年3月22日:古いKSKがルートゾーンに表示される最終日。
2018年8月: 古い鍵を、両方のICANN鍵管理ファシリティから削除。
運用計画
2017年KSKロールオーバーの運用実施計画 [PDF、741 KB] - 8段階のプロセスのタイムラインなど、2017年のKSKロールオーバープロジェクトを完了するための運用手順を詳細に説明します。
2017年KSKロールオーバーのバックアウト計画 [PDF、506 KB] - 運用計画を実施するときに発生する問題に基づいて、予測される運用計画からの逸脱について説明します。
2017年KSKロールオーバーの外部テスト計画 [PDF、516 KB] - 外部のシステムがKSKのロールオーバーに対応する準備ができているかどうかを評価するために、インターネットの一般利用者がアクセスできる運用テスト環境の準備について説明します。
2017年KSKロールオーバーの監視計画 [PDF、480 KB] - ルートサーバーへのトラフィックにおけるルートゾーンのトラストアンカーの変更の影響を監視する計画について説明します。
2017年KSKロールオーバーのシステムテスト計画 [PDF、519 KB] - KSKロールオーバーに関連するICANNのインフラストラクチャへの変更をテストするために必要な操作について説明します。
コミュニケーション計画
ICANNは、現在KSKを利用しているユーザーがこの変更を把握していることを確認するために、アウトリーチキャンペーンを幅広く行っています。

コミュニケーション計画を読む。

過去のニュース
2016年7月22日 – DNSSEC:ルートゾーン鍵の署名鍵のロールオーバー

2016年7月20日 – ICANN、インターネットの新しい秘密鍵を提供へ（Domain Incite)

2016年6月21日 – セキュリティのベストプラクティス:DNSSECの検証

2016年5月9日 – ドメインネームシステム（DNS）のルートゾーンへの鍵の変更