1. ルートゾーンKSK/設定検査
「DNSSEC検証の有効・無効に関わらず影響がある」(可能性がある)という。
あやしげで責任逃れの文章にも見えるのだが、どういう場合に影響があるのか、 BIND, Unbound で少し調べて見た。ご参考までに。
DNSSEC 署名検証チェック: http://www.e-ontap.com/dns/validation.html
きちんと検証を無効に設定すれば、影響はないと考える。w
- きちんと無効になっているかを確認するのが面倒です。
-- ToshinoriMaeno 2017-08-06 07:09:45
2. BIND option
dnssec-validation(DNSSEC検証?) の有効・無効が関係しているという結果が得られたらしい。-- ToshinoriMaeno 2017-07-29 15:24:41
2.1. dnssec-validation off
https://twitter.com/t0r0_twit/status/891195789967372288
rootの鍵ぶっこわして
BIND DNSSEC-* option
enable \ validation |
no |
yes |
no |
1 |
2 |
yes |
1 |
2 |
- 特に問い合わせ問題なし
- 検証失敗servfail返ってきて名前解決不可
validation 設定はdefault yesらしい。
おもしろい結果だ。JPRSの言っていることとは異なるかも。w (validation yesの時だけ影響を受ける)
validation の on/off が影響しています。ISC-BINDの説明と合っている。-- ToshinoriMaeno 2017-07-29 15:24:41
dnssec-enable no でも、validation yesだと、フラグメント化の影響をうけそう。
- validation no だと影響ないかも。(これも予想とは異なる。)
-- ToshinoriMaeno 2017-07-29 09:16:01
「署名検証」という用語もあるらしいので、これも紛らわしい。
3. DNSSEC検証の意味
dnssec-validation optionは上の結果から判断して影響を与えるので、違うのだろう。
もしdnssec-enableをDNSSEC検証といっていると解釈すれば、整合するのだが、
- お粗末過ぎる調査だということになる。
-- ToshinoriMaeno 2017-07-30 02:18:25
4. Unbound
Unboundの作者が解説したページがある。
-- ToshinoriMaeno 2017-08-06 07:09:45