MoinQ:

1. ルートゾーンKSK/設定検査


「DNSSEC検証の有効・無効に関わらず影響がある」(可能性がある)という。

あやしげで責任逃れの文章にも見えるのだが、どういう場合に影響があるのか、 BIND, Unbound で少し調べて見た。ご参考までに。

DNSSEC/確認方法/dnssec-failed.org

DNSSEC 署名検証チェック: http://www.e-ontap.com/dns/validation.html

きちんと検証を無効に設定すれば、影響はないと考える。w

-- ToshinoriMaeno 2017-08-06 07:09:45

2. BIND option

dnssec-validation(DNSSEC検証?) の有効・無効が関係しているという結果が得られたらしい。-- ToshinoriMaeno 2017-07-29 15:24:41

2.1. dnssec-validation off

https://twitter.com/t0r0_twit/status/891195789967372288

rootの鍵ぶっこわして

BIND DNSSEC-* option


enable \ validation

no

yes

no

1

2

yes

1

2


  1. 特に問い合わせ問題なし
  2. 検証失敗servfail返ってきて名前解決不可

validation 設定はdefault yesらしい。


おもしろい結果だ。JPRSの言っていることとは異なるかも。w (validation yesの時だけ影響を受ける)

dnssec-enable no でも、validation yesだと、フラグメント化の影響をうけそう。

-- ToshinoriMaeno 2017-07-29 09:16:01

「署名検証」という用語もあるらしいので、これも紛らわしい。

3. DNSSEC検証の意味

dnssec-validation optionは上の結果から判断して影響を与えるので、違うのだろう。

もしdnssec-enableをDNSSEC検証といっていると解釈すれば、整合するのだが、

-- ToshinoriMaeno 2017-07-30 02:18:25

4. Unbound

Unboundの作者が解説したページがある。

-- ToshinoriMaeno 2017-08-06 07:09:45