1. ルートゾーンKSK/DNSSECを使っていなくても
一部の人はDNSSEC(検証)を使っていなくても影響があると言っている。
- これらを検証する必要がある。
私はDNSSECを使っていないし、影響を見かけたことはない。
影響があるとも思っていない。-- ToshinoriMaeno 2017-07-27 02:30:51
2. 見かけた風説
- root server が無条件にDNSKEYを返す。これは(現在は)正しくない。(JPRS)
- ひよっとしたら、かつてそういう動作をしたかもしれない。
- 返答のサイズが増大する。(NISC) JPRSが元かも。
- 今回増えるのはDNSKEYレコードサイズであるから、問い合わせしなければ、関係ない。 かつて、そういう動作をしたのかもしれない。
- 求められてもいないDNSKEYをといあわせるリゾルバーがある。(tss_ontap)
あったとしたら、そのリゾルバーがおかしい。見かけたら、不良の報告をしてください。
これは FreeBSD package の Unbound の起動スクリプトのせいでした。-- tss 2017-08-12 14:22:53
3. Knot resolver
dnssec off の/kresd ではDNSKEYは取り込んでいない。
4. まとめ
DNSSECを使っていなければ、ルートゾーンKSK変更の影響はない。(信じるに足る情報もある。後で追加)
- ただし、おかしな動作をするリゾルバーがないとは言えないので、注意は必要かも。
DNSSECを使っていないにもかかわらず、DNSKEYを問い合わせるリゾルバーが存在しないという証明は不可能である。
5. なぜこういう誤解がおきているのか
- これから追求する。
-- ToshinoriMaeno 2017-07-27 02:30:51