== ルートゾーンKSK/日本では/janog39 == <> https://www.janog.gr.jp/meeting/janog39/application/files/5014/8471/4979/JANOG39-LT-yoneya.pdf この段階では断りはないが「dnssec enableを前提とした話」のようだ。  その上で、dnssec-validation の値には関係しないと言っていたつもりではないか。(好意的解釈) -- ToshinoriMaeno <> それにしても、大きな返答を受け取る方法はUDP/EDNSだけではない。  TCP fallbackに触れないのはなぜか、考えることを勧める。-- ToshinoriMaeno <> === DNSSEC検証の有無(の意味) === {{attachment:Screenshot from 2017-07-28 21-21-36.png}} ---- DNS応答のIPフラグメントがやってくる!準備できていますか? 2017年1月20日JANOG39 LT 米谷嘉朗 5ページにある記述を疑う必要がある。 今すぐできるIPフラグメント確認方法 • 名前解決の失敗を発生させないため、今すぐ自分のフルリゾルバー (キャッシュDNSサーバー)がIPフラグメントで名前解決に失敗しないか確認を! – フルリゾルバーはDNSSEC検証の有無に関わらずDNSKEYを取得しているため }}} == だが == すべてのフルリゾルバーが上のような動作をするとは限らない。  このような動作をするリゾルバーとはなにか。 -- ToshinoriMaeno <> ここの「DNSSEC検証」はBINDで言うところのdnssec-validation flagのことらしい。  "dnssec-enable yes"であれば、-validation に関係なくといいたかったらしいが、  DNSSEC用語に慣れていなければ、理解できないのも当然だろう。 特定のリゾルバーの動作を以って、すべてのリゾルバーの動作であるかのように言うのは間違いだが。 -- ToshinoriMaeno <>   リゾルバーが要求しないDNSKEYレコードを送り返すroot serverがあるという説も見たが、 自分では発見できていない。どこかにあるのかも知れないが。 -- ToshinoriMaeno <> == そして == ここで、誤解が決定的になる。(別紙)-- ToshinoriMaeno <> DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性について https://www.nisc.go.jp/active/general/pdf/taisaku_170718.pdf {{{ 対象者 DNSを用いた検索を実際に行う「キャッシュDNSサーバー」の運用者全て 例:契約者向けに提供するインターネットサービスプロバイダ、LAN利用者向けに提供する官庁・独法・学校・企業など ※DNSSECを無効にしている方も下記影響・対応の②についてご確認ください。 }}} 「DNSSECを無効にしている方」まで影響があるかのように書かれている。 -- ToshinoriMaeno <>