インターネットのドメイン名を管理する非営利組織のICANNは日本時間の16日朝、ルートゾーンにおけるDNSSECの正式運用を開始した。
DNSSEC（Domain Name System Security Extensions）は、DNSでやりとりされる情報について、それが正しい応答先からきたものかどうかやパケット内容が改ざんされていないかということを確認できるようにDNSの仕様を拡張するもの。具体的には、DNS応答に含まれる署名データを復号して得たハッシュ値と、受信データから算出したハッシュ値を照合し、合致するか否かで判定する。
ICANNでは2010年1月から5月にかけて、13のルートサーバーに順次ダミーの署名データを設定し、DNSSEC導入の影響について調査・検討してきた。今回、正式な署名データに変更することで、DNSSECが正式に導入されたかたち。
これに伴い、IANA（Internet Assigned Numbers Authority）が公開しているルートゾーンのトラストアンカー（公開鍵）をキャッシュDNSサーバーに設定することで、ルートゾーンのDNSSEC検証を有効化できるようになる。

2010年7月15日、DNSの最上位に存在するルートゾーンに対し、 正式な鍵によるDNSSEC(Domain Name System Security Extensions)の署名データが追加されました。

ルートゾーンへのDNSSEC署名データの追加にあたっては、 その影響する要因を分離し、問題がないかどうか確認するため、 2010年1月からDURZ(Deliberately Unvalidatable Root Zone)*2と呼ばれる検証不可能な署名データの追加が行われてきました。 追加に伴い、 ルートサーバではTCPを使った問い合わせの増加や応答パケットの増大などが観測されましたが、 致命的な影響はないと判断され、 2010年6月、ルートゾーンへのDNSSEC署名データの追加が正式に決定されました。 今回はこれを受けて実施した作業です。

ルートゾーンへのDNSSEC署名の追加について - JPNIC