2010-07-10 (土)
*DNS SEC
メモ.
結構普及してきたみたいなので,少し様子を見てみる.
手元のdigでsigchaseとかtopdownが使えないと思ったらコンパイルオプションにDDIG_SIGCHASEが必要なのか.
.govとかはさすがにRRSIGレコードちゃんとあるな.bizとorgもいけた.でも,.jpや.netはまだダメそうです.
dig +dnssec ns kstm.org. @b0.org.afilias-nst.org.
とかすると,TYPE50(NSEC3)のレコードが見えるので,kstm.orgがちゃんと存在することが確認できる.存在しないドメインを調べようとすると,辞書順で前後にあるドメインのNSEC3レコードを返してくれるので,そのドメインが存在しないことが確実に分かる.(NSEC3は名前をハッシュ化するので,前後のドメインが実際に何なのかまでは分からない).
RRSIGレコードを見ると,NSが署名されていないので,IPアドレスの正当性までは保障されない.
早くvalue domainとかが対応してくれないかな.
TLDのNSECはNSEC3では無いので,次のTLDの名前が分かる.なので,適当にたどってみると,初めて見るTLDが出てくる.
問い合わせるサーバを指定しないでTLDを辿ってみると,TLDで無いものがNSECに出てきたりする.あれ?と思ったが,よく考えてみれば当たり前だった.あるドメインのNSECは,そのドメイン内のゾーンファイルにも存在する.
たとえば,prのNSであるpr-dns.denic.de.とかに,prのNSECを尋ねると123.prだと言ってくる.