DNS 温泉 4 - Day 2 #dnsonsen4

https://atnd.org/events/89126 ★教材: http://www.e-ontap.com/dns/onsen4/
3
前へ 1 2 ・・ 8 次へ
Yoshikazu GOTO @goto_ipv6

鈴木先生:KSK は鍵長を長くして、長い期間利用する。ZSK は鍵長を短くして、しかし頻繁に取り替える。すると応答が小さくなる。 #dnsonsen4

2017-09-17 09:01:10
Yoshikazu GOTO @goto_ipv6

鈴木先生:で、こういう多段の関係が出来上がった。 #dnsonsen4

2017-09-17 09:01:21
Yoshikazu GOTO @goto_ipv6

鈴木先生:上位ゾーンは、預けられた公開鍵のハッシュ値、DS に署名する。で、公開鍵を受け取った人は、上位ゾーンから受け取った DS を用いて信頼性を確認できる。これができたら、ゾーンの信頼性を検証することができるという仕掛けです。 #dnsonsen4

2017-09-17 09:02:28
ゆたぽんさん @yutapon

DNSSEC-seminar2017 - DNSSEC-seminar2017.pdf e-ontap.com/dns/DNSSEC-sem… #dnsonsen4

2017-09-17 09:02:53
Yoshikazu GOTO @goto_ipv6

鈴木先生:ジレンマ、鍵長と取り替えるまでの期間をどちらも短くしたかった。 #dnsonsen4

2017-09-17 09:03:07
Yoshikazu GOTO @goto_ipv6

鈴木先生:ZSK で利用されているのは RSA 1024 で、まあ、ぎりぎり安全だよね、と。で、KSK の方は RSA 2048 で、これはまだ安全だろうと。 #dnsonsen4

2017-09-17 09:03:45
Yoshikazu GOTO @goto_ipv6

鈴木先生:ということで、ZSK は数週間に一度だったり。KSK はもっと長く、数ヶ月、もしくは数年そのままだったりも。 #dnsonsen4

2017-09-17 09:04:13
Yoshikazu GOTO @goto_ipv6

鈴木先生:で、上位ゾーン。こちらも同じように、DS を ZSK と KSK で署名。これを上がっていくと行き着く先は Root サーバー。Root サーバーも基本的には同じ。しかし Root サーバーの場合は KSK のハッシュ値を預ける先がない。 #dnsonsen4

2017-09-17 09:05:55
Yoshikazu GOTO @goto_ipv6

鈴木先生:どうするか? 皆さん、HTTPS の証明書について、どうやって信頼性を確保しているか知っていますよね?Web ブラウザーに入っているものを利用している。 #dnsonsen4

2017-09-17 09:06:28
Yoshikazu GOTO @goto_ipv6

鈴木先生:DNSSEC も同じで、ブラウザーに相当するのがリゾルバです。検証機能を持っているリゾルバ。リゾルバの中にバリデーターがあるわけですが。キャッシュDNSサーバーがバリデーターを持っていることが一般的ですが、 #dnsonsen4

2017-09-17 09:07:58
Yoshikazu GOTO @goto_ipv6

スタブにもあったり。Firefox でもバリデーションをやったり。 #dnsonsen4

2017-09-17 09:08:11
ゆたぽんさん @yutapon

そろそろKSKキーロールオーバーの話がやってくる! #dnsonsen4

2017-09-17 09:09:16
Takeshi Owaki @owaki

なつかしい。これは現地で聞いたはず。 #dnsonsen4 twitter.com/yuuturn5/statu…

2017-09-17 09:09:19
じふ @yuuturn5

DNSSECの道のり 桃栗三年柿八年、DNSSECは何年? jprs.jp/tech/material/… #dnsonsen4

2017-09-17 09:00:15
Yoshikazu GOTO @goto_ipv6

鈴木先生:ということで、予め持っている公開鍵、もしくはハッシュ値を利用して、Root サーバーの鍵を信用する、と。ということで、ブラウザーと同じ動きで公開鍵、もしくはハッシュ値が、検証の際の大本になる。結果、ソースコード、さらには ICANN が #dnsonsen4

2017-09-17 09:09:26
Yoshikazu GOTO @goto_ipv6

信頼の根本になる。 #dnsonsen4

2017-09-17 09:09:32
Yoshikazu GOTO @goto_ipv6

鈴木先生:これはハードコーディングされている場合もあるし、初期値を持ってくる場合もあるし、今回、キーロールオーバーが行われますが、そういった手段で入手したものを利用することになる。 #dnsonsen4

2017-09-17 09:10:09
Yoshikazu GOTO @goto_ipv6

鈴木先生:で、これが得られたら、順に検証していけばよい。 #dnsonsen4

2017-09-17 09:10:32
Yoshikazu GOTO @goto_ipv6

鈴木先生:ということで、これだけです。DNSSEC の基本的な考え方ってそんなに難しくないです。 #dnsonsen4

2017-09-17 09:10:48
Yoshikazu GOTO @goto_ipv6

鈴木先生:概念まではそんなに難しくないと思いますが。いかがでしょう? #dnsonsen4

2017-09-17 09:11:03
otsuka0752 @Dublin/Ireland 🇮🇪 @otsuka0752

DNSSEC/TLSA Validator addons.mozilla.org/en-US/firefox/… dnssec-validator.cz #dnsonsen4

2017-09-17 09:11:35
Yoshikazu GOTO @goto_ipv6

鈴木先生:あとは実習で、この関係を理解しましょう。 #dnsonsen4

2017-09-17 09:11:50
Yoshikazu GOTO @goto_ipv6

鈴木先生:KSKキーロールオーバー #dnsonsen4

2017-09-17 09:11:56
Yoshikazu GOTO @goto_ipv6

鈴木先生:で、一番上のハッシュ値、もしくは公開鍵の部分をどう入れ替えるかってのが話題になっています。 #dnsonsen4

2017-09-17 09:12:42
otsuka0752 @Dublin/Ireland 🇮🇪 @otsuka0752

validate された結果を使っている訳じゃなく、接続先と IPアドレスと validate した結果が一致しているかどうかを、確認して結果を表示しているだけかな。 #dnsonsen4

2017-09-17 09:15:23
Yoshikazu GOTO @goto_ipv6

鈴木先生:ドラフトタイムライン: ・ICANNで公開されています →日本語ページもあります ・新しいKSKを作成→すでにできています ・7月11日に新しいKSKが公開されています #dnsonsen4

2017-09-17 09:15:32
前へ 1 2 ・・ 8 次へ

いま話題のタグ

岸田メル63 ドカ食いダイスキ!もちづきさん4 ワールドトリガー866 新幹線657 NNN34 お金持ち30 6089 脱毛70 ゴジラ-1.029 Apple1762 同人1993 クレカ82 AIイラスト262 孤独死65 マンガ41667