DNS/DNSSEC/分かっているようで分かっていないDNSについて、ここに記述してください。
http://blog.livedoor.jp/koichiise/tag/ZSK
ご自由に書いてください。
- 非協力的な運用者: (Non Cooperating DNS Operators)
DNS サーバの移転は協力なしには進まない。 DNSSECにかぎらない。
ここは hostile DNS Operators (敵対的運用者)として、禁止すべきではないか。 -- ToshinoriMaeno 2011-04-23 07:19:59
glue record あるいは余計な付加Aレコード -- ToshinoriMaeno 2011-04-23 07:23:29
委譲に必要なAレコードを返さない上位サーバがある。
無用な(毒と間違われかねない)Aレコードをつけた返答をするサーバがある。
- DNSSEC がキャッシュ毒盛攻撃に対する根本的解決だという宣伝のうそ
存在するすべてのDNSコンテンツサーバとキャッシュサーバがDNSSEC対応すれば、 Kaminsky流の攻撃によってキャッシュサーバに毒盛することはできなくなるでしょう。 でも、前提条件がいつ実現されるでしょうか。それまではどういう状態になるでしょうか。
google, twitter, 大手金融機関、政府機関などがすべて対応するなら、それでも使えるかもしれません。 一般人としてはそれまで待っても遅くはないでしょう。 なんせ、コンテンツサーバのDNSSEC対応には恐ろしく手間がかかりますから。
キャッシュへの毒盛を心配するなら、公開、共用のキャッシュサーバを止めるのが先です。 -- ToshinoriMaeno 2011-04-23 08:20:22