トップ «前の日記(2022-06-21) 最新 編集

インターノット崩壊論者の独り言


EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させて頂いております。

2024-02-16 Small is beautiful

DNSSEC とは訣別しよう

2月13日に KeyTrap という DNSSEC の署名検証に大きな負荷をかける DoS 手法が発表されました。すぐに対策しましょう。パッチも出ていますが DNSSEC をやめるのが最良です。

Unbound については 2018 年に DNSSEC を完全に止める方法について記事を書きましたが、現在のバージョン (1.19 以降) では以下の設定で簡単に止められるようになっています。

module-config: "iterator" #validatorを消す
disable-edns-do: yes
また BIND では dnssec-enable no; だけでは DO bit が落ちないので次のようにするとよさそうです。
dnssec-validation no;
dnssec-enable no;
server 0.0.0.0/0 { edns no; };
server ::/0 { edns no; };

DNSSEC は複雑すぎるのが最大の欠点です。これまでも脆弱性は指摘されてきましたし今後も新しい欠陥が見つかることでしょう。多様な問題点は「DNSSEC はなぜダメなのか」というページにまとめてあります。

本日のツッコミ(全1件) [ツッコミを入れる]
Lucifer (2024-02-16 18:47)

以前の DNSSEC を完全に止める方法で DO Bit を「0」に変えることに対して、乗り気じゃなかったのに今になって方針転換したのはどうしてなんでしょうね。(小声


最近の日記

2008|04|05|06|07|08|10|11|
2009|02|03|04|06|07|09|10|11|
2010|01|03|06|09|10|11|12|
2011|01|02|03|05|06|07|10|11|
2012|03|06|07|10|11|12|
2013|02|03|04|05|06|08|09|10|11|
2014|01|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|07|08|09|10|11|12|
2016|01|06|08|12|
2017|03|07|08|09|12|
2018|04|08|10|11|
2019|01|02|07|11|12|
2020|01|02|03|05|06|07|08|
2021|02|03|09|12|
2022|02|03|05|06|
2024|02|

リンク

Copyright by T.Suzuki