Describe DNS/DNSSEC/運用 here.
Contents
1. 権威サーバの運用がむずかしい
権威サーバ運用のノウハウを蓄積する必要がある、とか言っていることからも分かる。
失敗の事例:
こんな話も: http://internet.watch.impress.co.jp/docs/event/iw2010/20101126_409677.html
いずれにしても、DNSSECの設定と運用には、技術力と正確なオペレーションが要求されることが明確になりつつある。 従来のように、「とりあえず動く」というレベルで満足していると取り残されることになるかもしれない。
こういう脅迫まがいの記事に踊らされて、DNSSECに手を出してはいけません。
- 技術力があると自信のあるところ以外は手を出さないことを勧めます。
- ただでさえ、まともに動いていないDNSがひどいことになります。 外部から毒盛される前に自分で毒を飲むようなものです。
ネットで見かけた設定をコピーして設定するのは自殺行為も同然です。やってはいけません。
セカンダリサーバの運用も難しくなるだろう。
こういう警告もある: http://ya.maya.st/d/201102b.html#d20110218
信用できる業者はあるのか。それが問題です。
JPDIRECTはこういう立場だ:
JPDirect は、DNSSECのご利用について不具合や支障が生じた場合であっても、何らの責任も負わないものとします。
1.1. 定期的な鍵の更新が必要
DNSSECではないDNSの運用すら問題が多い状況なのに、 複雑な手順で「定期的に鍵を更新しなくてはならない」。 /鍵の更新
実施しても、正しく運用される可能性は少ない。
正しい手順で行わないと、ドメインがなくなったように見えてしまう。
時計による時刻管理も必須になる。
2. 移転作業が複雑化
分かっていればたいした問題ではなさそうだが、DNS/移転にはトラブルがつきもの。
それにDNSSEC関連の移転作業が加わると、... DNS/DNSSEC/移転
http://jpinfo.jp/event/2010/0423IETF.html
DNSSEC運用ガイドラインの改良に向けた取り組み
しかし、DNSSECが導入されたドメイン名について同様の移転を行う場合、 従来のDNSの権限委任構造に加え、 DNSSECによる信頼の連鎖(chain of trust)の取り扱いにも配慮する必要があります。 そのため、移転作業をより慎重に進める必要があり、従来の移転作業に比べ、手順が複雑になります。
「非協力的な運用者」間によるドメイン名移転〜手法標準化が今後の課題に
使い物になるガイドラインはまだない。
3. DNSSEC がらみのバグ
(緊急)BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合について
- - ルートゾーンのトラストアンカー設定の前に、必ず9.7.1-P2への更新を -
■BIND 9の否定応答受信時のRRSIGレコードの取り扱いの不具合を利用した
- DoS攻撃について - 緊急のパッチ適用を強く推奨 -
<http://jprs.jp/tech/security/bind9-vuln-ncache-and-rrsig.html>
バグへの対応はこれまで以上に必要になるでしょう。