以下のお知らせを知ったので対応状況を確認してみた。

総務省｜DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い（お知らせ）

EDNS0に対応している確認

ルータとLinux/Windows10端末にはともにDNSSEC有効にしたをunboundが入っているので、unboundのインストールや設定は省略します。 Linux(debian)では、digコマンドが入っていなければ、dnsutilsをインストールすることでdigコマンドで使えるようになります。インストールしたらdigコマンドを実行して以下のようにな結果が得られれば対応している模様。

$ dig +bufsize=4096 rs.dns-oarc.net txt | grep -iE "flags:" ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2 ; EDNS: version: 0, flags:; udp: 4096

Windows10ではBINDのパッケージにdig.exeが含まれているのでそれを使い、以下ように確認する。

dig +bufsize=4096 rs.dns-oarc.net txt | findstr "flags:" ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 1, ADDITIONAL: 2 ; EDNS: version: 0, flags:; udp: 4096

なお、WindowsのBINDのパッケージに含まれていれるdig.exeのみを取り出しても実行できないので、パッケージに含まれてい全.dllファイルも一緒にdig.exeと同じところに置いておくこと。

トラストアンカーの更新確認

ルートキーの更新日時が24時間以内か確認する。Linuxでは以下の通り。

$ grep -iE "^\s*auto-trust-anchor-file" /etc/unbound/unbound.conf | while read l; do set $l; ls -la ${2//\"/};done -rw-r--r-- 1 unbound unbound 1252 Oct 2 18:32 /etc/unbound/anchor/root.key

Windowsのunboundでは、C:\Program Files\Unbound\root.key の更新日時を確認する。

参考にしたページ

総務省｜DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性

キャッシュDNSサーバーを運用する者が講ずべき措置について解説した資料(DNSにおける電子署名鍵の更改について)(PDF)

ルートゾーンKSKのロールオーバー - ICANN

ICANN、KSKロールオーバーにおける注意事項についての包括的なガイドを発行 - ICANN

ルートKSKロールオーバーの実施により予想される影響について（ガイド本体）(PDF)

digコマンドでEDNS0の動作を確認する。 - labunix's blog