== ルートゾーンKSK/設定検査 == <> ---- <> 「DNSSEC検証の有効・無効に関わらず影響がある」(可能性がある)という。 あやしげで責任逃れの文章にも見えるのだが、どういう場合に影響があるのか、 BIND, Unbound で少し調べて見た。ご参考までに。 [[DNSSEC/確認方法/dnssec-failed.org]] DNSSEC 署名検証チェック: http://www.e-ontap.com/dns/validation.html きちんと検証を無効に設定すれば、影響はないと考える。w きちんと無効になっているかを確認するのが面倒です。 -- ToshinoriMaeno <> == BIND option == dnssec-validation(DNSSEC検証?) の有効・無効が関係しているという結果が得られたらしい。-- ToshinoriMaeno <> === dnssec-validation off === https://twitter.com/t0r0_twit/status/891195789967372288 {{{ rootの鍵ぶっこわして }}} BIND DNSSEC-* option ---- || enable \ validation || no || yes || || no || 1 || 2 || || yes || 1 || 2 || ---- 1. 特に問い合わせ問題なし 2. 検証失敗servfail返ってきて名前解決不可 validation 設定はdefault yesらしい。 ----- おもしろい結果だ。JPRSの言っていることとは異なるかも。w (validation yesの時だけ影響を受ける)  validation の on/off が影響しています。ISC-BINDの説明と合っている。-- ToshinoriMaeno <> dnssec-enable no でも、validation yesだと、フラグメント化の影響をうけそう。  validation no だと影響ないかも。(これも予想とは異なる。) -- ToshinoriMaeno <> 「署名検証」という用語もあるらしいので、これも紛らわしい。 == DNSSEC検証の意味 == dnssec-validation optionは上の結果から判断して影響を与えるので、違うのだろう。 もしdnssec-enableをDNSSEC検証といっていると解釈すれば、整合するのだが、  お粗末過ぎる調査だということになる。 -- ToshinoriMaeno <> == Unbound == Unboundの作者が解説したページがある。 -- ToshinoriMaeno <>