DNSSEC/確認方法/dnssec-failed.org

1. DNSSEC/確認方法/dnssec-failed.org

DNS/用語/オープンリゾルバー/公開リスト/DNSSEC　ほとんどが<検証無効>

/JP登録サーバーゾーンサーバーと兼用になっているリゾルバーを調べてみた。

2. DNSSEC検証の確認

DNSSEC検証を有効にしているリゾルバーはdnssec-failed.orgの検証に失敗して、<SERVFAIL返答>を返す。

しかし、SERVFAIL返答を一度くらい受けとっただけでは<検証有効だ>との判断はできない。

たとえば、キャッシュに情報がないときは<ひとまずSERVFAILを返す>リゾルバーが存在する。ｗまた、アクセス制限などでSERVFAILを返すリゾルバーも存在する。

これらに注意して、判定していこう。

ISP提供のリゾルバーはアクセス制限されていて、個人では調査は困難なので、以下の方法を取った。(ISPの情報は歓迎します。)

(1) JP ccTLDドメインに登録されている約3万件のNSレコードから、オープンリゾルバー状態のものを1100件あまり抽出した。(以前8千と書いていたのは誤り）

(2) これらを対象にDNSSEC検証が有効かを調べる。

51件の有効なホストを見つけた。

-- ToshinoriMaeno 2017-08-18 10:06:54

2.1. ODVR

https://labs.nic.cz/en/odvr.html CZ.NIC ODVR are Open DNSSEC Validating Resolvers that you might freely use instead of the standard DNS resolvers offered by your Internet service provider.

217.31.204.130 and 193.29.206.206

%dig +nodnssec dnssec-failed.org @217.31.204.130                        ~

; <<>> DiG 9.10.4-P6 <<>> +nodnssec dnssec-failed.org @217.31.204.130
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 46541
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dnssec-failed.org.             IN      A

;; Query time: 259 msec
;; SERVER: 217.31.204.130#53(217.31.204.130)
;; WHEN: Sun Aug 13 17:00:36 JST 2017
;; MSG SIZE  rcvd: 46

確認のために：

%dig +cdflag dnssec-failed.org @217.31.204.130 ~

; <<>> DiG 9.10.4-P6 <<>> +cdflag dnssec-failed.org @217.31.204.130
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11153
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;dnssec-failed.org.             IN      A

;; ANSWER SECTION:
dnssec-failed.org.      7114    IN      A       69.252.80.75

;; Query time: 1056 msec
;; SERVER: 217.31.204.130#53(217.31.204.130)
;; WHEN: Sun Aug 13 17:01:49 JST 2017
;; MSG SIZE  rcvd: 62

Contents

DNSSEC/確認方法/dnssec-failed.org
DNSSEC検証の確認
1. ODVR
DNSSEC有効なオープンリゾルバー
1. あやしげ
確認用サーバー
検証無効リゾルバー
かつてのオープンリゾルバー

DNSSEC検証が失敗するはずの例(ドメイン名）

   $dig dnssec-failed.org

を実行して、Aレコードが得られたら、DNSSEC検証が無効になっているリゾルバーを使っている可能性がある。

3. DNSSEC有効なオープンリゾルバー

DNS/用語/オープンリゾルバー/公開リスト/DNSSEC

シマンテック Norton Connect Safe（セキュリティ） 199.85.126.10 199.85.127.10 同サービス（セキュリティと未成年保護） 199.85.126.20 199.85.127.20

3.1. あやしげ

dns1.resolv.to は検証有効だ。46.246.46.246

http://www.ipgeek.co/46.246.46.246

http://anti-hacker-alliance.com/index.php?ip=46.246.46.246

https://www.c0urier.net/2013/uncensored-and-fast-dns-servers

4. 確認用サーバー

open DNSSEC-validating resolvers ("ODVR") that anyone can use to experiment with DNSSEC.

https://www.dns-oarc.net/oarc/services/odvr

$ dig +dnssec @184.105.193.73 iis.se

理由が見える： http://dnsviz.net/d/www.dnssec-failed.org/dnssec/

-- ToshinoriMaeno 2017-08-09 06:05:27

5. 検証無効リゾルバー

/IIJ

6. かつてのオープンリゾルバー

DNSSECに対応したキャッシュDNSサーバの提供開始について 2011年1月18日（火）　提供開始 http://www.sphere.ne.jp/dnssec/