2010-06 << 2010-07 >> 2010-08

2010-07-10 (土)

*DNS SEC

メモ.

結構普及してきたみたいなので,少し様子を見てみる.

手元のdigでsigchaseとかtopdownが使えないと思ったらコンパイルオプションにDDIG_SIGCHASEが必要なのか.

.govとかはさすがにRRSIGレコードちゃんとあるな.bizとorgもいけた.でも,.jpや.netはまだダメそうです.

dig +dnssec ns kstm.org. @b0.org.afilias-nst.org.

とかすると,TYPE50(NSEC3)のレコードが見えるので,kstm.orgがちゃんと存在することが確認できる.存在しないドメインを調べようとすると,辞書順で前後にあるドメインのNSEC3レコードを返してくれるので,そのドメインが存在しないことが確実に分かる.(NSEC3は名前をハッシュ化するので,前後のドメインが実際に何なのかまでは分からない).

RRSIGレコードを見ると,NSが署名されていないので,IPアドレスの正当性までは保障されない.

早くvalue domainとかが対応してくれないかな.

TLDのNSECはNSEC3では無いので,次のTLDの名前が分かる.なので,適当にたどってみると,初めて見るTLDが出てくる.

問い合わせるサーバを指定しないでTLDを辿ってみると,TLDで無いものがNSECに出てきたりする.あれ?と思ったが,よく考えてみれば当たり前だった.あるドメインのNSECは,そのドメイン内のゾーンファイルにも存在する.

たとえば,prのNSであるpr-dns.denic.de.とかに,prのNSECを尋ねると123.prだと言ってくる.