私から JPRS への一週間前の質問に回答が昨日来ていました。
JPRS が伝聞の形ながらようやく EDNS0 バッファサイズの推奨値を回答したのが画期的です。 (これまでは回答を拒んでいた)
要するに、、、
From: info@jprs.jp To: "T.Suzuki" <tss@e-ontap.com> Cc: info@jprs.jp Subject: Re: [JPRS info 410313] ends-buffer-size Date: Thu, 04 Feb 2021 15:46:50 +0900 X-Mailer: Cybozu MailWise 5.1.3 鈴木 様 株式会社日本レジストリサービス お客様サポート係 お問い合わせいただきましてありがとうございます。 > 1. 必要な glue がつかないのに TC フラグが立たない JP サーバは欠陥では > ないでしょうか? 当該動作はDNSプロトコル上の問題である旨が指摘されており、問題を解決す るためのプロトコルの修正が、インターネットドラフトとして提案されており ます。 当社としては、標準化の動向を踏まえて対応を進める予定です。 > 2. edns-buffer-size: 565 がいけないということであれば、適切なサイズは > いくつですか? ご質問のdigコマンドにおいてUnboundから送出される問い合わせにはDO bitが セットされており、RFC 4033における「security-aware resolver」として取 り扱われると承知しております。 その場合、EDNSバッファサイズには、RFC 4035 Section 4.1の記述が適用され ると承知しております。ご参考までに、以下に引用いたします。 また、DNS Flag Day 2020ではフルサービスリゾルバーにおけるEDNSバッファ サイズとして、1,232バイトが推奨されていると存じます。 > A security-aware resolver MUST support a message size of at least > 1220 octets, SHOULD support a message size of 4000 octets, and MUST > use the "sender's UDP payload size" field in the EDNS OPT pseudo-RR > to advertise the message size that it is willing to accept. A > security-aware resolver's IP layer MUST handle fragmented UDP packets > correctly regardless of whether any such fragmented packets were > received via IPv4 or IPv6. Please see [RFC1122], [RFC2460], and > [RFC3226] for discussion of these requirements. > 3. 現在 JP サーバは ; EDNS: version: 0, flags: do; udp: 4096 という応答をし > てきますが、4096 というサイズは DNS flag day 2020 に対応していない危険なサイズ > ではないでしょうか? DNS flag day 2020 への対応予定を教えてください。 JP DNSサーバーにおける、DNS Flag Day 2020で推奨されるEDNSバッファサイ ズへの変更につきましては、現在検討中です。 何かございましたらお手数ですが、以下の窓口までお問い合わせください。
ちなみに私の質問のメールは以下
From: "T.Suzuki" <tss@e-ontap.com> To: info@jprs.jp Subject: ends-buffer-size Date: Thu, 28 Jan 2021 12:09:55 +0900 Organization: E-ONTAP X-Mailer: Sylpheed 3.7.0 (GTK+ 2.24.32; amd64-portbld-freebsd12.1) お世話になっております。JP ドメイン利用者の鈴木と申します。 一部のドメイン名が Unbound (1.13.0) で引けない現象がおきています。 % dig www.chukyo-uac.jp ; <<>> DiG 9.9.5 <<>> www.chukyo-uac.jp ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 33801 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 565 ;; QUESTION SECTION: ;www.chukyo-uac.jp. IN A ;; Query time: 1481 msec ;; SERVER: 127.0.0.2#53(127.0.0.2) ;; WHEN: Thu Jan 28 11:50:17 JST 2021 ;; MSG SIZE rcvd: 46 % dig www.internat.jp ; <<>> DiG 9.9.5 <<>> www.internat.jp ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 49684 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 565 ;; QUESTION SECTION: ;www.internat.jp. IN A ;; Query time: 243 msec ;; SERVER: 127.0.0.2#53(127.0.0.2) ;; WHEN: Thu Jan 28 11:50:29 JST 2021 ;; MSG SIZE rcvd: 44 unbound.conf は以下のようになっています。 server: verbosity: 5 interface: 127.0.0.2 prefer-ip4: yes outgoing-num-tcp: 50 edns-buffer-size: 565 do-ip6: no logfile: "unbound.log" use-syslog: no harden-referral-path: no qname-minimisation: yes aggressive-nsec: no use-caps-for-id: no minimal-responses: no module-config: "iterator" auto-trust-anchor-file: "/usr/local/etc/unbound/root.key" 原因は edns-buffer-size: 565 なのに対して、以下のように glue も TC フラグも 立っていない応答が返ってきていることだと思います。 ~% dig -t a www.internat.jp @a.dns.jp +dnssec +notcp +ignore +norec +qr +bufsize=565 ; <<>> DiG 9.9.5 <<>> -t a www.internat.jp @a.dns.jp +dnssec +notcp +ignore +norec +qr +bufsize=565 ;; global options: +cmd ;; Sending: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8815 ;; flags: ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 565 ;; QUESTION SECTION: ;www.internat.jp. IN A ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8815 ;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 5, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.internat.jp. IN A ;; AUTHORITY SECTION: internat.jp. 86400 IN NS ns.internat.jp. D4R30L9CETC680EV8UASC74TLJJOK5H2.jp. 900 IN NSEC3 1 1 8 80722445BE D4TOBSLK5IS3M3551DVTF68MN0O8J8S7 NS SOA RRSIG DNSKEY NSEC3PARAM D4R30L9CETC680EV8UASC74TLJJOK5H2.jp. 900 IN RRSIG NSEC3 8 2 900 20210222174503 20210123174503 39945 jp. HP6LnfaNAar4I90csxRO8GEMvbfmLdNIcpwSxQnC7wtiaklHilryuH/j XGqkGGfSKuyQ1cKC/TyrV+v3IujaQj3j+osGcJCuyWs8l0zR9uxoEoPg z+yKKKm7pG28ZR/JOSappIJnrlm/Qrlv8zNcFMPvnoy0u8VhrGpawMMF w98= 41KTTL2MNI5RKK32378RH6QOPQLV3EQF.jp. 900 IN NSEC3 1 1 8 80722445BE 42Q5A65HN8KPQSFCTTJ2K946MUAF2P1N TXT RRSIG 41KTTL2MNI5RKK32378RH6QOPQLV3EQF.jp. 900 IN RRSIG NSEC3 8 2 900 20210222174503 20210123174503 39945 jp. mCQskVHnKp1UiF3phtcyW1uRu8W1s+unUOrBcL4PVBlcjIyGNCUxeR/G z6iR2Y5ooeaMfl7dtNFR9idggyUT46v8pAVcM9uqi/0/OZmxNSpGMKKQ kBSv+Pl1miIUnKk6nlIwuOkZjDuMJKJAuk24de3ZxN12aEJ/a4sJ5LdC +7Q= ;; Query time: 26 msec ;; SERVER: 203.119.1.1#53(203.119.1.1) ;; WHEN: Thu Jan 28 12:01:26 JST 2021 ;; MSG SIZE rcvd: 554 そこで質問です。 1. 必要な glue がつかないのに TC フラグが立たない JP サーバは欠陥ではないでしょうか? 2. edns-buffer-size: 565 がいけないということであれば、適切なサイズはいくつですか? 3. 現在 JP サーバは ; EDNS: version: 0, flags: do; udp: 4096 という応答をし てきますが、4096 というサイズは DNS flag day 2020 に対応していない危険なサイズ ではないでしょうか? DNS flag day 2020 への対応予定を教えてください。 -- ------------------------------------------------------------------------------ T.Suzuki / E.F.シューマッハーとI.イリイチを読もう 『コンヴィヴィアリティのための道具』が文庫本になりました
Copyright by T.Suzuki
ちなみに com は TC bit を立ててくる。RFC を待たないと直せないというのは理由にならないと思いますね。 <br>dig soa e-ontap.com @a.gtld-servers.net +dnssec +norec +ignore +bufsize=630
8/24 今調べてみたら、TC onの返事が返りました。修正されたのかも。 <br>(広報は見ていない。)
NSEC3 のバイト数が変化しましたかね。590 だと TC つきません。 <br>dig -t a www.internat.jp @a.dns.jp +dnssec +notcp +ignore +norec +qr +bufsize=590
いまは 560 くらい