## page was renamed from DNS/DNSSEC/分かっているようで分かっていないDNS ## page was renamed from DNS/beyondDNS/分かっているようで分かっていないDNS #acl All:read,write DNS/DNSSEC/分かっているようで分かっていないDNSについて、ここに記述してください。 http://blog.livedoor.jp/koichiise/tag/ZSK ---- ご自由に書いてください。 ---- * 非協力的な運用者: (Non Cooperating DNS Operators) DNS サーバの移転は協力なしには進まない。 DNSSECにかぎらない。 ここは hostile DNS Operators (敵対的運用者)として、禁止すべきではないか。 -- ToshinoriMaeno <> ---- * glue record あるいは余計な付加Aレコード -- ToshinoriMaeno <> 委譲に必要なAレコードを返さない上位サーバがある。 無用な(毒と間違われかねない)Aレコードをつけた返答をするサーバがある。 ----- * DNSSEC がキャッシュ毒盛攻撃に対する根本的解決だという宣伝のうそ 存在するすべてのDNSコンテンツサーバとキャッシュサーバがDNSSEC対応すれば、 Kaminsky流の攻撃によってキャッシュサーバに毒盛することはできなくなるでしょう。 でも、前提条件がいつ実現されるでしょうか。それまではどういう状態になるでしょうか。 google, twitter, 大手金融機関、政府機関などがすべて対応するなら、それでも使えるかもしれません。 一般人としてはそれまで待っても遅くはないでしょう。 なんせ、コンテンツサーバのDNSSEC対応には恐ろしく手間がかかりますから。 キャッシュへの毒盛を心配するなら、公開、共用のキャッシュサーバを止めるのが先です。 -- ToshinoriMaeno <> ----