MoinQ: ルートゾーンKSK/日本では/janog39

1. ルートゾーンKSK/日本では/janog39

https://www.janog.gr.jp/meeting/janog39/application/files/5014/8471/4979/JANOG39-LT-yoneya.pdf

この段階では断りはないが「dnssec enableを前提とした話」のようだ。

• その上で、dnssec-validation の値には関係しないと言っていたつもりではないか。(好意的解釈）

-- ToshinoriMaeno 2017-07-28 12:31:30

それにしても、大きな返答を受け取る方法はUDP/EDNSだけではない。

• TCP fallbackに触れないのはなぜか、考えることを勧める。-- ToshinoriMaeno 2017-08-20 00:16:57

1.1. DNSSEC検証の有無(の意味)

DNS応答のIPフラグメントがやってくる！準備できていますか？ 2017年1月20日JANOG39　LT　米谷嘉朗

5ページにある記述を疑う必要がある。 今すぐできるIPフラグメント確認方法

• • 名前解決の失敗を発生させないため、今すぐ自分のフルリゾルバー

（キャッシュDNSサーバー）がIPフラグメントで名前解決に失敗しないか確認を！

• – フルリゾルバーはDNSSEC検証の有無に関わらずDNSKEYを取得しているため

}}}

2. だが

すべてのフルリゾルバーが上のような動作をするとは限らない。

• このような動作をするリゾルバーとはなにか。

-- ToshinoriMaeno 2017-07-24 00:55:27

ここの「DNSSEC検証」はBINDで言うところのdnssec-validation flagのことらしい。

• "dnssec-enable yes"であれば、-validation に関係なくといいたかったらしいが、 DNSSEC用語に慣れていなければ、理解できないのも当然だろう。

特定のリゾルバーの動作を以って、すべてのリゾルバーの動作であるかのように言うのは間違いだが。

-- ToshinoriMaeno 2017-07-28 11:56:47

リゾルバーが要求しないDNSKEYレコードを送り返すroot serverがあるという説も見たが、 自分では発見できていない。どこかにあるのかも知れないが。 -- ToshinoriMaeno 2017-07-24 01:37:42

3. そして

ここで、誤解が決定的になる。(別紙）-- ToshinoriMaeno 2017-07-28 12:38:13

ＤＮＳの世界的な運用変更に伴うキャッシュＤＮＳサーバーの設定更新の必要性について https://www.nisc.go.jp/active/general/pdf/taisaku_170718.pdf

対象者 
  DNSを用いた検索を実際に行う「キャッシュDNSサーバー」の運用者全て 
例：契約者向けに提供するインターネットサービスプロバイダ、LAN利用者向けに提供する官庁・独法・学校・企業など 
  ※DNSSECを無効にしている方も下記影響・対応の②についてご確認ください。

「DNSSECを無効にしている方」まで影響があるかのように書かれている。 -- ToshinoriMaeno 2017-07-28 12:38:13