## page was renamed from DNSSEC/dnssec-failed.org == DNSSEC/確認方法/dnssec-failed.org == <> [[DNS/用語/オープンリゾルバー/公開リスト/DNSSEC]] ほとんどが<検証無効> [[/JP登録サーバー]] ゾーンサーバーと兼用になっているリゾルバーを調べてみた。 == DNSSEC検証の確認 == DNSSEC検証を有効にしているリゾルバーはdnssec-failed.orgの検証に失敗して、を返す。 しかし、SERVFAIL返答を一度くらい受けとっただけでは<検証有効だ>との判断はできない。  たとえば、キャッシュに情報がないときは<ひとまずSERVFAILを返す>リゾルバーが存在する。w  また、アクセス制限などでSERVFAILを返すリゾルバーも存在する。 これらに注意して、判定していこう。 ISP提供のリゾルバーはアクセス制限されていて、個人では調査は困難なので、 以下の方法を取った。(ISPの情報は歓迎します。) (1) JP ccTLDドメインに登録されている約3万件のNSレコードから、 オープンリゾルバー状態のものを1100件あまり抽出した。(以前8千と書いていたのは誤り) (2) これらを対象にDNSSEC検証が有効かを調べる。  51件の有効なホストを見つけた。 -- ToshinoriMaeno <> === ODVR === https://labs.nic.cz/en/odvr.html CZ.NIC ODVR are Open DNSSEC Validating Resolvers that you might freely use instead of the standard DNS resolvers offered by your Internet service provider. 217.31.204.130 and 193.29.206.206 {{{ %dig +nodnssec dnssec-failed.org @217.31.204.130 ~ ; <<>> DiG 9.10.4-P6 <<>> +nodnssec dnssec-failed.org @217.31.204.130 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 46541 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;dnssec-failed.org. IN A ;; Query time: 259 msec ;; SERVER: 217.31.204.130#53(217.31.204.130) ;; WHEN: Sun Aug 13 17:00:36 JST 2017 ;; MSG SIZE rcvd: 46 }}} 確認のために: %dig +cdflag dnssec-failed.org @217.31.204.130 ~ {{{ ; <<>> DiG 9.10.4-P6 <<>> +cdflag dnssec-failed.org @217.31.204.130 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11153 ;; flags: qr rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;dnssec-failed.org. IN A ;; ANSWER SECTION: dnssec-failed.org. 7114 IN A 69.252.80.75 ;; Query time: 1056 msec ;; SERVER: 217.31.204.130#53(217.31.204.130) ;; WHEN: Sun Aug 13 17:01:49 JST 2017 ;; MSG SIZE rcvd: 62 }}} ---- <> DNSSEC検証が失敗するはずの例(ドメイン名) {{{ $dig dnssec-failed.org }}}  を実行して、Aレコードが得られたら、DNSSEC検証が無効になっているリゾルバーを使っている可能性がある。 == DNSSEC有効なオープンリゾルバー == [[DNS/用語/オープンリゾルバー/公開リスト/DNSSEC]] シマンテック Norton Connect Safe(セキュリティ) 199.85.126.10 199.85.127.10 同サービス(セキュリティと未成年保護) 199.85.126.20 199.85.127.20 === あやしげ === dns1.resolv.to は検証有効だ。46.246.46.246 http://www.ipgeek.co/46.246.46.246 http://anti-hacker-alliance.com/index.php?ip=46.246.46.246 https://www.c0urier.net/2013/uncensored-and-fast-dns-servers == 確認用サーバー == {{{ open DNSSEC-validating resolvers ("ODVR") that anyone can use to experiment with DNSSEC. }}} https://www.dns-oarc.net/oarc/services/odvr {{{ $ dig +dnssec @184.105.193.73 iis.se }}} 理由が見える: http://dnsviz.net/d/www.dnssec-failed.org/dnssec/ -- ToshinoriMaeno <> == 検証無効リゾルバー == [[/IIJ]] == かつてのオープンリゾルバー == DNSSECに対応したキャッシュDNSサーバの提供開始について 2011年1月18日(火) 提供開始 http://www.sphere.ne.jp/dnssec/