= ルートゾーンKSK/日本では/e-ontap = == blog == {{{ 要点は以下です。 DNSSEC 署名の検証は無効に UDP サイズ制限は小さくすべき TCP 53 が止められていないこと }}} 構成の話として、ここの要点を先頭にまとめておくのがいいでしょう。 本文はその説明という形で。http://www.e-ontap.com/blog/20170807.html -- ToshinoriMaeno <> 総務省の書いていることがおかしいというのは議論なので、 混乱中のひとが簡単に理解できると思わない方がいい。 総務省はDNSSEC推進活動をしてきたのだろうか。興味がないので、知らないだけか。 総務省だけが問題なのではない。  JPRSに始まり、JPNIC, NISC それぞれの注意におかしな点がある。 共通するのはDNSSECを使っていなくても影響がある(可能性がある)と言っていて、  それがパケットのフラグメントが発生すると言っていること。(放置すれば、発生する可能性はなくはない。) {{{ たとえ、パケットフラグメントが発生したとしても、それだけでDNS検索不能になるわけではない。 }}} == 無料セミナーの資料 == DNSSECの仕組みとKSKロールオーバへの対応 http://www.e-ontap.com/dns/DNSSEC-seminar2017.pdf ----- == 気になる言葉 == 「もっと異なるシンプルな問題回避策」 なんのことだろう。「総務省があやしげな報道発表」をするのが問題だとは思うのだが。 == 私の理解 == 「DNSSECを使わない立場で、影響を受けないためには」こうするのがいい。という説明ですね。    慌てて、リゾルバーをDNSSEC対応させようとすると、危ない。 UDPは512オクテットのままにしておいて、ednsは使わない。 <長い返事はtruncatedになるので>リゾルバーは TCPで問い合わせなおす。 (DNSSECを使っていなければ、 問題なし) これだけで十分でしょう。わからないのであれば、この10倍書いても分からせるのは無理かと。 -- ToshinoriMaeno <> どこかの画面でチェックを付けるだけで、DNSSEC対応になるとは思わない方がいい。