1. DNSSEC
Contents
Against DNSSEC 15 January 2015 https://sockpuppet.org/blog/2015/01/15/against-dnssec/
https://sockpuppet.org/blog/2015/01/15/against-dnssec/
https://tools.ietf.org/html/rfc2065 [1997]
1.1. validator
共用リゾルバーでは検証されているか。
jp.sharp のような設定が排除されない現状をどう受け止めるか。-- ToshinoriMaeno 2023-02-19 02:07:01
1.2. NSEC3
NSEC3の使い方は付録にある。 https://jprs.jp/tech/material/rfc/RFC5155-ja.txt
[dns-operations] Forged Delegation Injection into Empty Non-Terminal with NSEC3 https://lists.dns-oarc.net/pipermail/dns-operations/2018-January/017214.html
1.3. dns.jp
1.4. gov.mufj.jp
NSEC3+opt-outの問題 /NSEC3+opt-out
/gov.ac ENT 問題
1.5. ルートゾーンKSK更新の影響
ルートゾーンKSK更新の影響のまとめ ルートゾーンKSK/日本では/お騒がせ見出し
- 検証(BINDでいうdnssec-validate yes) を有効に指定していなければ、影響はありません。
この時期にDNSSEC検証を有効にする理由はありません。有効にしていなければ、影響はうけません。
いますぐに大きなUDPパケットを受け取るように設定する必要もありません。
KSK更新が影響するのはDNSSEC検証有効になっている場合だからです。
大きなUDPパケットを受け取れるかを確認することは容易ではありません。
- リゾルバーはUDPで受け取れなかったらTCPを使います。
外向きTCP/53が使えるか、確認しておくことを勧めます。
/2017 DNSを使っていなければ、ルートゾーンKSK更新の影響がないことを確信するまでに使った時間!
学べば学ぶだけ、DNSSECはだめだと分かる。-- ToshinoriMaeno 2017-08-11 23:56:48
2. DNSSECについて
/JPNIC : 間違いだらけの説明
DNSの安全性を強化するために必要なのはDNSSECなのでしょうか。
改めて、考えてみたいと思います。-- ToshinoriMaeno 2015-03-20 01:55:31
- DNSSECはKaminskyの指摘以前に計画されている。:-) 少なくともKaminsky流の攻撃を防ぐためのものではない。
2.1. なぜだめなのか
やれることの割に管理運用の手間が掛かり過ぎる。これに尽きる。
開発に手間がかかっている。その分、DNSの改善や保守がおろそかになる。
DNSでの毒盛対策が進まない。
2.2. JPRSによる紹介
https://jprs.jp/tech/material/iw2009-lunch-L1-01.pdf#page=14
/TLD/jp ドメイン情報 https://jprs.jp/doc/dnssec/jp-dps-jpn.v1.4.html
2.3. 概要
分割、整理中です。-- ToshinoriMaeno 2017-08-11 23:57:49
- DNS(UDP)は中間者攻撃には対抗できないことが分かっています。 DNSSECはDNS(UDP)の弱点である毒(偽レコード)を検出するためのひとつの仕組みです。
- 本当に毒盛に弱いのでしょうか。よく検討する必要があるでしょう。
2.4. KSK更新に関連しての通知
毒入れされやすいUDPを使い続けるのがまずいことははっきりしているのに、こだわる理由が分かりません。
- ただ、DNSSECがうまく行っていない理由もあきらかにしておかないと、過ちを繰り返すことになるでしょう。
-- ToshinoriMaeno 2015-03-08 01:18:04
DNSSEC 署名検証チェック http://www.e-ontap.com/dns/validation.html
2.5. なにができるのか
DNSSECはman-in-the-middle-attacksによるキャッシュ毒盛からDNSデータを守るためだという。 (Is DNSSEC Worth the Effort?)
- だとすると、MITMAの危険性を評価することが重要になるが、それはとても難しい。
2.6. なにができないのか
MITMAを前提にするなら、DNSSECを使っていないという偽情報(毒)は容易に入れられる。
- そこでは、DNSSECを使っていないサイトは信用しないということでないとあぶない。
DNSSECで守れるものもあるが、守れないものの方がはるかに多いのが現状だ。 -- ToshinoriMaeno 2015-03-19 15:32:06
2.7. なにがまずいのか
2.8. DNSは十分に安全
- その手間が問題なのか。いや、TLDなどへの負荷が集中するので、それらの管理者が避けたがっているからだ。
UDP を使い続けるなら、DNSCurveのようなより単純な仕組みを使う方がよさそうだ。
2.9. リンク
「実践DNS」
http://sockpuppet.org/blog/2015/01/15/against-dnssec/ /Against DNSSEC
http://ianix.com/pub/dnssec-outages.html
https://www.nic.ad.jp/ja/materials/iw/2012/proceedings/t9/t9-Funato.pdf
https://news.ycombinator.com/item?id=7449960
Resolving DNS Queries and Caching Validated Responses https://support.f5.com/kb/en-us/products/big-ip_gtm/manuals/product/gtm-implementations-11-2-0/13.html
- Is the DNS' security protocol a waste of everyone's time and money?
http://www.circleid.com/posts/20150318_is_dnssec_worth_the_effort/ Is DNSSEC Worth the Effort? Head of Security at .SE
- DNSSECの売り込みにすぎないようだ。