ルートゾーンKSK/日本では/JPRS/iw2016について、ここに記述してください。 https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yoneya.pdf スライド15 {{{ 影響を受ける対象者とその影響 •フルリゾルバー運用者 –応答サイズが増加したDNSKEYがIPフラグメントにより受け取れなくなる可能性がある • DNSSEC検証の有効・無効に関係なし • DNSSEC検証を有効にしている場合、DNSKEYが受け取れないとすべてのDNSSEC検証が失敗し名前解決できなくなる }}}  このスライドの意図するところははっきりしているが、 のちにそれを読み取るときに間違った可能性が高い。(あるいは、総務省の意向を忖度したか)  「DNSSEC検証の有効・無効に関係なし」がdnssec-validateの値によらないということではなかった。(確認ずみ)     -- ToshinoriMaeno <> 前提条件として、BINDでは {{{ 1. DNSSECをenableしている }}} が必要だろう。 これは誤解だと分かった。逆にdnssec-validate yes; が条件であることが判明している。 dnssec-validate no; では影響はない。 -- ToshinoriMaeno <>