EDNS0対応確認(ルートKSKロールオーバー対応確認)
以下のお知らせを知ったので対応状況を確認してみた。
総務省|DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い(お知らせ)
EDNS0に対応している確認
ルータとLinux/Windows10端末にはともにDNSSEC有効にしたをunboundが入っているので、unboundのインストールや設定は省略します。 Linux(debian)では、digコマンドが入っていなければ、dnsutilsをインストールすることでdigコマンドで使えるようになります。インストールしたらdigコマンドを実行して以下のようにな結果が得られれば対応している模様。
$ dig +bufsize=4096 rs.dns-oarc.net txt | grep -iE "flags:" ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2 ; EDNS: version: 0, flags:; udp: 4096
Windows10ではBINDのパッケージにdig.exeが含まれているのでそれを使い、以下ように確認する。
dig +bufsize=4096 rs.dns-oarc.net txt | findstr "flags:" ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2 ; EDNS: version: 0, flags:; udp: 4096
なお、WindowsのBINDのパッケージに含まれていれるdig.exeのみを取り出しても実行できないので、パッケージに含まれてい全.dllファイルも一緒にdig.exeと同じところに置いておくこと。
トラストアンカーの更新確認
ルートキーの更新日時が24時間以内か確認する。Linuxでは以下の通り。
$ grep -iE "^\s*auto-trust-anchor-file" /etc/unbound/unbound.conf | while read l; do set $l; ls -la ${2//\"/};done -rw-r--r-- 1 unbound unbound 1252 Oct 2 18:32 /etc/unbound/anchor/root.key
Windowsのunboundでは、C:\Program Files\Unbound\root.key の更新日時を確認する。
参考にしたページ
総務省|DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性
キャッシュDNSサーバーを運用する者が講ずべき措置について解説した資料(DNSにおける電子署名鍵の更改について)(PDF)
ICANN、KSKロールオーバーにおける注意事項についての包括的なガイドを発行 - ICANN