1. ルートゾーンKSK/日本では/e-ontap

1.1. blog

要点は以下です。
 DNSSEC 署名の検証は無効に 
 UDP サイズ制限は小さくすべき 
 TCP 53 が止められていないこと

構成の話として、ここの要点を先頭にまとめておくのがいいでしょう。

-- ToshinoriMaeno 2017-08-07 06:57:03

総務省の書いていることがおかしいというのは議論なので、混乱中のひとが簡単に理解できると思わない方がいい。

総務省だけが問題なのではない。

共通するのはDNSSECを使っていなくても影響がある（可能性がある）と言っていて、

たとえ、パケットフラグメントが発生したとしても、それだけでDNS検索不能になるわけではない。

DNSSECの仕組みとKSKロールオーバへの対応 http://www.e-ontap.com/dns/DNSSEC-seminar2017.pdf

「もっと異なるシンプルな問題回避策」

なんのことだろう。「総務省があやしげな報道発表」をするのが問題だとは思うのだが。

「DNSSECを使わない立場で、影響を受けないためには」こうするのがいい。という説明ですね。　

UDPは512オクテットのままにしておいて、ednsは使わない。

（DNSSECを使っていなければ、問題なし）

これだけで十分でしょう。わからないのであれば、この10倍書いても分からせるのは無理かと。

-- ToshinoriMaeno 2017-08-07 07:00:26

どこかの画面でチェックを付けるだけで、DNSSEC対応になるとは思わない方がいい。