JPRS の『DNSがよくわかる教科書』を読んでさえ「浸透を待っている」人を目撃しました。ほんとうによくわかる教科書なんでしょうかね。(あれよりまともなものを見たことはないのですけれど)
DNS の運用においては浸透という言葉の問題よりも、そもそも無闇に (あるいは根拠のない期間) 待つことの問題の方が大きいのです。長く待ってその末に設定ミスがわかるというケースがよく観察されます。いったい浸透を言う人たちは何を待っているのでしょう。待つことに意味はあるのでしょうか? 事業者が待てというのは単なる責任回避のデタラメですから信用してはいけません。以下に分析してみますので参考にしてください。
以上を承知のうえで浸透とやらを待っている人はいったい何を待っているのでしょう?
DNS温泉 番外編 (2019年2月) を有志たちが企画してくれました。DNS のなかでも特に理解者が少ないと思われる否定応答に焦点をあてた 2017年の DNS 温泉 4 (山代温泉) をベースとして、新たな知見を加えて理解が困難な DNSSEC の不存在証明の闇に迫ろうと思います。
基本的な話は私が引き受けさせてもらい、闇の部分については今年度の卒業研究で第一フラグメント便乗攻撃 (別名アイコラ攻撃) の PoC (Proof of Concept) システムを作ってくれた私のゼミの B4 太田健也くんに任せようと思います。危険性がよくわかるデモをご覧いただけることと思います。第一フラグメント便乗攻撃は理論的には可能でも実際の攻撃は難しいのではないかと思っている方には特に参加をお勧めします。
なお第一フラグメント便乗攻撃の PoC については春の情報処理学会全国大会でも発表予定ですが全国大会は時間が短いので、DNS温泉番外編のほうが詳しく聞いて頂けるかと思います。日本ではあまり注意喚起がなされていないのですが、これを知らないでいるのは怖いことだと思います。
追記: 当日の太田健也くんの発表「DNS第一フラグメント便乗攻撃 (アイコラ攻撃)」のスライドが公開されています。
Copyright by T.Suzuki
■ tm [最近は「浸透」を言わないようです。待っていることには変わりはないのですけど。]
■ tss [反映をよく見ますが同じことですね。言い換えればいいわけではないということです。]