DNSSEC では、各ゾーンの権威 (authoritative) サーバが使う鍵は上位ゾーンの権威サーバによって署名され保証されます。 DNS ツリーのルート以下全てのゾーンが DNSSEC に対応していれば、リゾルバが持つべき鍵はルートゾーンの署名に使われる鍵ひとつとなります。しかし DNSSEC が普及していない現状では、DNSSEC に対応している個々のゾーンの鍵を各リゾルバが持っておく必要があり、DNSSEC に対応したゾーンが増えればそれだけ鍵の管理の手間も大きくなります。 このような状況に対応するための暫定的な仕組みとして、ISC(Internet Systems Consortium) では DNSSEC Lookaside Validation(DLV) という技術を提唱しています。 DLV に対応したリゾルバは、上位のゾーンで提供されるべき DS(Delegation
DNSSEC(DNS Security Extensions)は、DNSの拡張仕様である。DNSの情報に電子署名を付けることで、DNSのデータが正式な発行元のデータであることを検証することができるようにする。 DNSSECの最初の仕様は1999年にRFC2535として公開されたが、長い間、実用とならなかった。それは、インターネットのトップレベルドメインのDNSSEC対応が遅れたためである。しかし、2008年7月に発生したDNSキャッシュポイズニング攻撃を受けて、2010年にトップレベルドメインがDNSSECに対応したことを受け、徐々に利用が広がっている。日本のccTLDである.jpドメインも2011年にDNSSECを導入した。また、すでに.com、.netなどのほとんどのドメインがDNSSECに対応している。 DNSSECの普及状況 APNICは、各TLD毎のDNSSEC対応状況をマップに
dnssec-enable no;でのBINDの挙動についてメモを兼ねて。 DNSSECではRRSIGリソースレコードに ・署名対象の名前 ・署名対象のリソースタイプ・クラス ・署名対象のオリジナルの(コンテンツサーバでの)TTL ・RRSIG自体の有効期間、鍵のハッシュなど を載せ、電子署名で保護している。 RRレコードと、対応するRRSIGレコードを受け取る事ができ、対応する公開鍵を信頼しているならば、 「現在時刻と照らしあわせてRRSIGレコードが有効期間内である事」を確認し、さらに、「Aレコードの元々のTTLがRRSIGの主張するオリジナルTTLだったと仮定して、現在時刻と照らしあわせて署名に矛盾がない」ことを確認することで、改竄されていないことが証明できる。 (公開鍵はルートから権威の木構造で証明するが署名原理は同じなので割愛。NSECも割愛) キャッシュサーバから受け取るRRS
Copyright © 2015 Kyushu Telecommunication Network Co., Inc. All rights reserved. Copyright © 2015 Kyushu Telecommunication Network Co., Inc. All rights reserved. Copyright © 2015 Kyushu Telecommunication Network Co., Inc. All rights reserved. Copyright © 2015 Kyushu Telecommunication Network Co., Inc. All rights reserved. Copyright © 2015 Kyushu Telecommunication Network Co., Inc. All rights reser
glibc の脆弱性 CVE-2015-7547 でも話題になった 512バイトを超える DNS パケットについてのメモ。 DNS では、TCP が使われたり、512 バイト超えるデータが扱われることは知っていたが、詳しい仕組みなど知らなかったので、備忘録のためにまとめておく。 そもそもなぜ 512 バイト? 調べてみると、 インターネットで使われている IP(IPv4)の仕様では 一度に受信可能なデータグラム(ヘッダーを含むパケッ ト)として、 576 バイトを保証しなければならないと定められています。この値は、64バイトのヘッダーと 512バイトの データブロックを格納可能な大きさとして選択されたものです refs: https://jprs.jp/related-info/guide/008.pdf とのこと。 インターネットで使われている IP の仕様では、かならず「1パケットで
JAPAN REGISTRY SERVICES JAPAN REGISTRY SERVICES Copyright © 2011 株式会社日本レジストリサービス 1 DNSSECチュートリアル 2011年7月 株式会社日本レジストリサービス JAPAN REGISTRY SERVICES JAPAN REGISTRY SERVICES Copyright © 2011 株式会社日本レジストリサービス 2 目次 • DNSキャッシュへの毒入れ とDNSSEC • DNSSECのしくみ • DNSSEC導入に向けて • DNSSECの鍵と信頼の連 鎖 • DNSSECのリソースレコー ド(RR) • 鍵更新と再署名 • BINDキャッシュサーバーで のDNSSECの設定 • 鍵生成と署名作業 • BIND権威サーバーでの DNSSECの設定 • スマート署名 (Smart signing) •
The Internet Corporation for Assigned Names and Numbers ("ICANN") today announced that the plan to change the cryptographic key that helps protect the Domain Name System (DNS) is being postponed. Changing the key involves generating a new cryptographic key pair and distributing the new public component to the Domain Name System Security Extensions (DNSSEC)-validating resolvers. Based on the estima
こんにちは、Windows プラットフォーム サポートの串田です。 今回は、先日総務省より通達があった DNSSEC を利用する際に使用されているルート ゾーン KSK の更新に伴う Windows の DNS サーバー上での対策の必要性の確認方法についてご紹介いたします。 ICANN は、ルートゾーン KSK と呼ばれる、DNSSEC で使用される暗号化鍵のペアを更新することをアナウンスしました。 ルート DNS サーバーを経由する、DNSSEC を利用したインターネット上の名前解決には、ルートゾーン KSK が利用されるため、適切な対策が求められています。 これを受けて 2017 年 7 月 14 日(金) に、総務省からも対策の必要性が発表されています。 現在、サポート チームではそもそも運用環境にて DNSSEC を利用しているのか?利用していない場合でも対策が必要なのか?というご
# named -c /dev/null ! # unbound -c /dev/null ! ! ! ! ! access-list 100 permit udp any any eq 53 server 192.0.2.1 { edns-udp-size 1220; }; options { edns-udp-size 1220; }; edns-buffer-size: 1220; dig @192.0.2.1 www.example.com A +norec +dnssec +bufsize=4096 dig @192.0.2.1 www.example.com A +norec +dnssec +bufsize=1220 $ dig www.kernel.org ! ;; QUESTION SECTION: ;www.kernel.org. IN A ! ;; ANSWER SE
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 総務省をはじめとする一連 (NISC,JPRS,JPNIC,JPCERT/CCあるいはそれらを元にした報道) の DNSSEC KSK ロールオーバーに関する注意喚起を鵜呑みにしてはいけません。総務省データ通信課の高村信企画官は注意喚起文書の文面が嘘も方便あるいは FUD であることを認め、さらには注意を喚起するためには「Terrible Story (恐ろしい話) が必要だった」とまで発言されています。(先日の記事参照) 彼らの説明や対策は DNSSEC 推進のための余計な方策が組み込まれているために、非常に複雑なものになっている一方で説明すべきことを説明していない
DNS に依存している 腐り沈みゆく船 (DNS) の上に継ぎ足しで新しい船を築くのは愚か DNSSEC は難しすぎる 強度の弱い暗号を用いているため、鍵を定期的に更新しなければいけない (そして失敗) 鍵を証明する情報を定期的に上位組織 (委任元) に預けて署名し直してもらわなくてはいけない (そして失敗) ルートの鍵を証明する情報を定期(?)的に世界の検証サーバたちに配布し直さなくてはいけない (歴史上始めての更新が今年行われつつあり障害発生が危惧されている) 運用事業者の移管の際に事業者間で安全に鍵を受け渡すことが困難 運用事業者の移管の際に一旦署名を外すのは安全性と可用性を下げる DNSSEC 署名対応事業者から非対応事業者への移管で事故も起きている (移管元も移管先も委任元に預けた鍵情報を消さなかったのが原因 / 一部の有志たちが作成したガイドラインがあって移管先が消すことになっ
2018年10月17日更新 2016年10月から、 DNSの起点となるルートゾーンに対して重要な更新が行われています。 2017年9月には、 ルートゾーンからの一部のDNS応答のサイズが一時的に増加する変更作業が行われました。 また、2017年10月に予定されていたKSKの切り替え作業は延期となりましたが、 2018年2月1日付で発表された計画案では2018年10月11日に改めて実施されることとなりました。 この更新に対して問題なく対応するためには、DNSサーバ運用者だけではなく、 ネットワーク運用者も事前に調査し、 必要があれば準備しておくことが重要です。 (意図せずDNSSEC検証が有効になっている場合もありますので、 対象外とお考えの方もぜひご一読ください。) 2018年9月16日に開催されたICANN理事会において、KSKロールオーバーの最終的な実施可否について審議が行われ、 予定
この度、インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN(Internet Corporation for Assigned Names and Numbers)が、DNS(ドメインネームシステム)において電子署名の正当性を検証するために使う暗号鍵の中で最上位となる鍵(ルートゾーンKSK)の更改を実施します。 総務省では、ICANNからの依頼を受けて、内閣サイバーセキュリティセンターの協力の下、国内関係者への周知を実施しております。 この度、インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN(Internet Corporation for Assigned Names and Numbers)が、DNS(ドメインネームシステム)において電子署名の正当性を検証するために使う暗号鍵の中で最上位となる鍵(ルートゾーンKSK)の更改を実施します。 これに伴い
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
