2月13日に KeyTrap という DNSSEC の署名検証に大きな負荷をかける DoS 手法が発表されました。すぐに対策しましょう。パッチも出ていますが DNSSEC をやめるのが最良です。
Unbound については 2018 年に DNSSEC を完全に止める方法について記事を書きましたが、現在のバージョン (1.19 以降) では以下の設定で簡単に止められるようになっています。
module-config: "iterator" #validatorを消す disable-edns-do: yesまた BIND では dnssec-enable no; だけでは DO bit が落ちないので次のようにするとよさそうです。
dnssec-validation no; dnssec-enable no; server 0.0.0.0/0 { edns no; }; server ::/0 { edns no; };
DNSSEC は複雑すぎるのが最大の欠点です。これまでも脆弱性は指摘されてきましたし今後も新しい欠陥が見つかることでしょう。多様な問題点は「DNSSEC はなぜダメなのか」というページにまとめてあります。
Copyright by T.Suzuki
以前の DNSSEC を完全に止める方法で DO Bit を「0」に変えることに対して、乗り気じゃなかったのに今になって方針転換したのはどうしてなんでしょうね。(小声