DNS/1/EDNS/JPRS速報について、ここに記述してください。
EDNSに関連して、どのような問題があるのかを整理しておくことが重要です。
- その上で、今回のイベントがどういう位置づけになっているかを理解することです。
-- ToshinoriMaeno 2018-07-20 09:43:54
../dnsflagday.netにある間違いの指摘は別途行うことにする。-- ToshinoriMaeno 2018-07-20 11:17:01
JPNIC blogに関しては、コメントする気になれないので、しばらくは無視する。
Contents
1. JPRS速報内容
https://www.nic.ad.jp/sc-hiroshima/program/dns-flag-day.pdf (なぜか、JPNICの下に)
- TCPによるqueryにはまったく触れられていない。(元がそうだから?)
2. DNS flag day
DNS flag dayについて(速報版)2018年6月1日
- Internet Week ショーケース in 広島 株式会社日本レジストリサービス(JPRS)
森下 泰宏
3. ワークアラウンド削除
DNS flag dayとは?
- 2019年2月1日 以下の四つのオープンソースDNSサーバーソフトウェアにおいて、
EDNSのワークアラウンドが一斉に削除される
- – BIND (ISC) – Knot Resolver (CZ.NIC) – PowerDNS (PowerDNS.COM BV) – Unbound (NLnet Labs)
この日以降にリリースされる実装には、ワークアラウンドが組み込まれない
公式サイト:<https://dnsflagday.net/>
Knot Resolverの説明によれば、ワークアラウンドは当初から実装されていない。 現実にはEDNSで返事がなかったときにはTCP queryを使う。これは正しい実装と言える。
このことから、上の記述は正しくない。BIND,Unboundはnoednsで再queryするので、ワークアラウンドなのだろう。
-- ToshinoriMaeno 2018-07-20 10:54:45
4. EDNSとは?
- • DNSの拡張方式(現在のバージョンはEDNS0) • 主要なDNSサーバー実装ではデフォルトで有効
- – EDNS0付きの問い合わせをデフォルトで送信
- – 応答を返さない、誤ったエラーコードを返すなど
5. ワークアラウンドとは?
従来は、フルリゾルバー(キャッシュDNSサーバー)に実装された回避策(ワークアラウンド)で対応
EDNS0なしで再問い合わせ
今回、このワークアラウンドがDNSサーバーソフトウェアから一斉に削除される
上に書いたように、一斉に削除されるは不正確である。Knot DNSはなぜ抗議しないのか。
6. 影響は?
今まで、ワークアラウンドにより名前解決できていたドメイン名の名前解決ができなくなる
これは間違いと言えるレベルの記述である。名前できなくなるものがあらたに発生する可能性がないとは言えない。くらいか。
ありそうな例
- 脆弱性対応のため、2019年2月1日以降にBINDをバージョンアップしたら、ある特定のドメイン名だけ名前解決できなくなった
他にもいろいろなケースがあると思われる
どういうケースがあるのか、そろそろ明らかにすべきである。起きるとは思えないが。