HOSTING-PRO 2011 WS1: 動き出したDNSSEC
動き出したDNSSEC ブロードバンドタワー 大本 貴さん講演なう http://hosting-pro.jp/workshop/w1.html #hosting_pro #dnssec_jp http://twitpic.com/45jwzc
2011-03-03 14:05:57#hosting_pro WS1 「DNSサーバ管理者は権威サーバではゾーンのDNSSEC対応、鍵の更新。キャッシュサーバではトラストアンカーの導入」
2011-03-03 14:22:22#hosting_pro WS1 「勝ち得る物、真正性を担保できる。試練は面倒、管理経費、サーバ負荷(特にキャッシュサーバ)、SERVFAILによるトラブルへの懸念(運用リスク)、顧客サポート(問題の切り分け、nslookupでは判らない)」
2011-03-03 14:26:32#hosting_pro WS1 「DNSSECに対応するには、BIND9.3移行、NSD2.x以降、Unbound1.x以降、PowerDNS 3.0以降」
2011-03-03 14:30:37#hosting_pro WS1 「DNSSEC用のDNS レコード。DNSKEY、RRSIG、DS、NSEC/NSEC3/NSEC3PARAM」
2011-03-03 14:32:17#hosting_pro WS1 「example.jpのゾーンをexample.jpのZSK秘密鍵で署名、ZSKとKSKの公開鍵をexample.jpのKSK秘密鍵で署名、KSK公開鍵のハッシュ値をDSレコードとして上位ゾーンに登録」
2011-03-03 14:38:31#hosting_pro WS1 「上位ゾーンとの連携を少なくしたい。上位ゾーンに登録する公開鍵の暗号強度を高くしつつ、ゾーンの署名は暗号強度を上げないようにするため、KSK/ZSKに分けている」
2011-03-03 14:47:31#hosting_pro WS1 「署名の有効期限が切れると検証失敗。有効期限が長くすると鍵が危殆化する恐れ。サーバの時計が狂っていると有効期限を間違う(キルギス.kgが2/22にローカル時間で署名して事故)」
2011-03-03 14:51:26後ほど http://hosting-pro/ に資料を載せますのでご参照ください RT @mahbo: #hosting_pro WS1 鍵更新の流れは重要なんだけど、この図は難しくて呟けない…
2011-03-03 14:57:04#hosting_pro WS1 「鍵更新には定期交換か危殆化してから初めて更新するかという考えが有る」危殆化してから初めて更新とは目から鱗だ。それで良いの? A(^^;
2011-03-03 15:00:52#hosting_pro WS1 このへんの話 http://bit.ly/gv5dOU (pdf形式, 160kB, 5p) DNSSECを利用するリゾルバーのためのトラストアンカーの設定方法について 第2版 をご参照ください #dnssec_jp
2011-03-03 15:07:32#hosting_pro WS1 動かしてみましたDNSSEC 権威DNSサーバ編 http://www.janog.gr.jp/meeting/janog26/doc/post-dnssec-min.pdf 民田さんNSEC3の話はこちら #dnssec_jp
2011-03-03 15:11:17#hosting_pro WS1 「DNSSECの運用経費軽減のためにOpenDNSSECが公開されている。鍵更新と署名の自動化ができる」
2011-03-03 15:13:08#hosting_pro WS1 「2007年時点ではスウェーデンほか数ヶ国。先月時点では大幅に増えている。2011年末では最大のccTLD.deや.cnも対応予定」
2011-03-03 15:15:31