DNSSEC終わりました

DNS
Published: 2011-08-22

 見よう見まねで7月から始めたDNSSECがわずか1か月で終わりました。ZSK鍵の更新を忘れていた結果、署名の有効期限が切れてしまい、DNSSEC対応キャッシュサーバが署名の検証に失敗する状態になっていました。

 再署名を行うまでの約2週間、ただのDNSキャッシュサーバをご利用の方々には何も影響もありませんでしたが、DNSSEC対応キャッシュサーバをご利用の方々はaimless.jpドメインの全Webページが閲覧不可となっていたはずです。。。DNSSEC怖い。。。仕事じゃなくてよかった。。。

 今回の原因である署名の有効期限は、レコードの電子署名であるRRSIGに明記されています。日付っぽい2つが、左から「署名の有効期限」と「署名の開始日」です。現在のaimless.jpドメインは、9/21まで署名が有効です。左側の日付を過ぎた瞬間から、前回と同様、署名の有効期限切れにより検証が失敗します。。。有効期限までにZSK鍵自体の更新が出来ない場合は、既存鍵を用いて再署名を行えばいいはず。

RRSIG   A 5 3 3600 20110921110445 (
    20110822110445 55677 ・・・

 最後の5ケタは署名で利用した鍵のIDです。署名で利用したZSK秘密鍵に対応するZSK公開鍵は、DNSKEYレコードで公開されています。末尾にRRSIGと同じ鍵IDが付いているのがわかります

DNSKEY  256 3 5 (
      ) ; key id = 55677

 初の鍵更新を見事に失敗したので、次はきちんと鍵の更新を行いたいです。現在は事前公開法に挑戦している最中です。権威DNSに+dnssecでdigして頂くと、256のDNSKEYレコードが二つ返ってくるはずです。しばらくこのままにして、タイミングを見計らって新しく公開したZSK公開鍵に対応するZSK秘密鍵で署名したいと思います。