DNS/DNSSEC/分かっているようで分かっていないDNSについて、ここに記述してください。

http://blog.livedoor.jp/koichiise/tag/ZSK

ご自由に書いてください。

• 非協力的な運用者： (Non Cooperating DNS Operators）

DNS サーバの移転は協力なしには進まない。 DNSSECにかぎらない。

ここは hostile DNS Operators (敵対的運用者）として、禁止すべきではないか。 -- ToshinoriMaeno 2011-04-23 07:19:59

• glue record あるいは余計な付加Aレコード　-- ToshinoriMaeno 2011-04-23 07:23:29

委譲に必要なAレコードを返さない上位サーバがある。

無用な（毒と間違われかねない）Aレコードをつけた返答をするサーバがある。

• DNSSEC がキャッシュ毒盛攻撃に対する根本的解決だという宣伝のうそ

存在するすべてのDNSコンテンツサーバとキャッシュサーバがDNSSEC対応すれば、 Kaminsky流の攻撃によってキャッシュサーバに毒盛することはできなくなるでしょう。 でも、前提条件がいつ実現されるでしょうか。それまではどういう状態になるでしょうか。

google, twitter, 大手金融機関、政府機関などがすべて対応するなら、それでも使えるかもしれません。 一般人としてはそれまで待っても遅くはないでしょう。 なんせ、コンテンツサーバのDNSSEC対応には恐ろしく手間がかかりますから。

キャッシュへの毒盛を心配するなら、公開、共用のキャッシュサーバを止めるのが先です。 -- ToshinoriMaeno 2011-04-23 08:20:22