ニュースソース:ICANN
以下は、2017年3月13日に公開された2017 KSK Rollover Operational Implementation Plan(PDF)を要約したものです。
実施のステップ
KSKロールオーバー(鍵の更新)の実施プロセスでは、ルートゾーンのトラストアンカーを更新し、新しい鍵署名鍵(KSK:Key Signing Key)であるKSK-2017をルートゾーンへ導入し、現行の鍵署名鍵であるKSK-2010を削除します。KSK-2017の生成から、管理組織におけるKSK-2010の削除までの全プロセスは、次の8ステップ(A~H)です。
ステップA:生成(Generation)
ステップB:複製(Replication)
ステップC:第1のSKR(First Signed Key Response)
ステップD:公開(Publication)
ステップE:ロールオーバー(Rollover)
ステップF:無効化(Revocation)
ステップG:削除1(Delete1)
ステップH:削除2(Delete2)
- 実施者がDNSセキュリティトラストアンカーの自動更新(RFC5011)をルートゾーンに実装する場合、ロールオーバーのプロセスは、D、E、Fの3ステップです。ステップDでKSK-2017はルートゾーンに公開され、ステップEで署名への使用が開始されます。
KSK-2010はステップEで使用停止となり、ステップFで無効化されます。 - 実施者がトラストアンカーのアウトオブバンド(オフライン)管理者である場合、ルートゾーンのトラストアンカーファイルが必要です。当ファイルの取得および認証のプロセスについては、このドキュメントでは解説していません。
トラストアンカーファイルの更新は、KSK-2017が有効に複製され、KSK-2010が無効化された後に実施されます。 - ルートゾーンおよびトラストアンカーにおける鍵セットへの変更は、複雑化の問題を引き起こすおそれがあります。ソフトウェアはトラストアンカーファイルの変更に対応できない可能性、ネットワークは増加したDNSのレスポンスのサイズに対応できない可能性があります。
これらの複雑化の問題が広く深刻化した場合、ルートゾーン管理パートナーは、システムの復元と安定化を図るため、変更の取り消し実施を決定する可能性があります。これはバックアウト(復元)シナリオとして想定されています。
2017年の暫定スケジュール
2017年2月:
KSK-2017 KSKの運用準備完了
2017年3月:
KSK-2017 KSKをIANAのWebサイト上に公開
2017年7月11日:
KSK-2017 KSKをルートゾーンに公開
2017年9月19日:
ZSK(Zone Signing Key、ゾーン署名鍵)ロールオーバーにより、レスポンスのサイズが増加
2017年10月11日:
KSK-2017 KSKをルートゾーンの鍵セットへの署名に使用