1. DNSSEC

/2019

https://sockpuppet.org/blog/2015/01/15/against-dnssec/

https://tools.ietf.org/html/rfc2065 [1997]

1.1. NSEC3

NSEC3の使い方は付録にある。 https://jprs.jp/tech/material/rfc/RFC5155-ja.txt

[dns-operations] Forged Delegation Injection into Empty Non-Terminal with NSEC3 https://lists.dns-oarc.net/pipermail/dns-operations/2018-January/017214.html

1.2. dns.jp

/dns.jp

1.3. gov.mufj.jp

NSEC3+opt-outの問題 /NSEC3+opt-out

/gov.ac ENT 問題

1.4. ルートゾーンKSK更新の影響

ルートゾーンKSK更新の影響のまとめ  ルートゾーンKSK/日本では/お騒がせ見出し

  この時期にDNSSEC検証を有効にする理由はありません。有効にしていなければ、影響はうけません。

いますぐに大きなUDPパケットを受け取るように設定する必要もありません。

KSK更新が影響するのはDNSSEC検証有効になっている場合だからです。

大きなUDPパケットを受け取れるかを確認することは容易ではありません。

 外向きTCP/53が使えるか、確認しておくことを勧めます。

/2017 DNSを使っていなければ、ルートゾーンKSK更新の影響がないことを確信するまでに使った時間!

/open-resolver /用語/DNSKEY


2. DNSSECについて

/DOflag

/JPNIC : 間違いだらけの説明

DNSの安全性を強化するために必要なのはDNSSECなのでしょうか。

/政府が推進?

2.1. なぜだめなのか

やれることの割に管理運用の手間が掛かり過ぎる。これに尽きる。

開発に手間がかかっている。その分、DNSの改善や保守がおろそかになる。

DNSでの毒盛対策が進まない。

2.2. JPRSによる紹介

https://jprs.jp/tech/material/iw2009-lunch-L1-01.pdf#page=14

/TLD/jp ドメイン情報  https://jprs.jp/doc/dnssec/jp-dps-jpn.v1.4.html

2.3. 概要

分割、整理中です。-- ToshinoriMaeno 2017-08-11 23:57:49

2.4. KSK更新に関連しての通知

毒入れされやすいUDPを使い続けるのがまずいことははっきりしているのに、こだわる理由が分かりません。

-- ToshinoriMaeno 2015-03-08 01:18:04

DNSSEC 署名検証チェック http://www.e-ontap.com/dns/validation.html

2.5. なにができるのか

DNSSECはman-in-the-middle-attacksによるキャッシュ毒盛からDNSデータを守るためだという。 (Is DNSSEC Worth the Effort?)

2.6. なにができないのか

MITMAを前提にするなら、DNSSECを使っていないという偽情報(毒)は容易に入れられる。

DNSSECで守れるものもあるが、守れないものの方がはるかに多いのが現状だ。 -- ToshinoriMaeno 2015-03-19 15:32:06

/できないこと

2.7. なにがまずいのか

/なにがまずいのか

2.8. DNSは十分に安全

UDP を使い続けるなら、DNSCurveのようなより単純な仕組みを使う方がよさそうだ。

2.9. リンク

「実践DNS」

http://sockpuppet.org/blog/2015/01/15/against-dnssec/ /Against DNSSEC

http://ianix.com/pub/dnssec-outages.html

https://www.nic.ad.jp/ja/materials/iw/2012/proceedings/t9/t9-Funato.pdf

https://news.ycombinator.com/item?id=7449960

Resolving DNS Queries and Caching Validated Responses https://support.f5.com/kb/en-us/products/big-ip_gtm/manuals/product/gtm-implementations-11-2-0/13.html

DNS/DNSSECいうな

http://www.theregister.co.uk/2015/03/18/is_the_dns_security_protocol_a_waste_of_everyones_time_and_money/

http://www.circleid.com/posts/20150318_is_dnssec_worth_the_effort/ Is DNSSEC Worth the Effort?  Head of Security at .SE

/RFC

/CloudFlare

Moin2Qmail: DNSSEC (last edited 2020-09-28 00:03:32 by ToshinoriMaeno)