-
- いいね!3
まこと
@milktea_net
2次会途中ですが帰ります!本日はありがとうございました!色々なお話が聞けて楽しかったです!! 切符も変更できたので無事帰れます。 #dnsonsen
2018-01-13 21:44:57
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
結局3次回まで行き東京で泊まってしまいました。昨日はみなさんありがとうございました。DNSSEC の困った状況を皆様に理解いただけたようで何よりです。うちの学生たちも可愛がって頂き感謝いたします。(ハントしてないで大学院に進むよう進言してあげてください w) #dnsonsen
2018-01-14 07:01:02
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
ああ、あの opt-out の説明は誤解を生みそうね。つだりのせいじゃない。ハッシュテーブルを再利用する実装はありえるし、ハッシュの計算し直しよりもNSEC3 署名を作りなおすのが全委任かセキュアな委任だけかという話のほうが大きいからね。(これも正確じゃない) #dnsonsen
2018-01-14 08:26:25
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
毒入れの検証結果までは示されていませんが、今回説明した脆弱性を JPRS さん (藤原さん) は知っていて海外では発表もしています。その後どうなっているのでしょうね。なぜ国内では説明してくれないのでしょうね。iepg.org/2014-07-20-iet… #dnsonsen
2018-01-14 22:44:08
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
国内では説明はここまでです。「DNSSEC検証においてEmpty non-terminalを確実に保護対象とするため」janog.gr.jp/meeting/janog3… #dnsonsen
2018-01-14 22:45:31
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
@tss_ontap_o これに気づいたから2014年3月に co.jp 等の ENT にこっそり TXT を入れたわけです。しかし何のためだという質問に彼らはこれまで沈黙を通したまま。JANOG 34 での意味不明な説明までが彼らとしてギリギリの線なわけです。#dnsonsen
2018-01-14 22:55:39
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
@tss_ontap_o TXT を入れるのはアドホックすぎる回避策。なぜ ISC は dissec-signzone を直さないのか? 意地? #dnsonsen
2018-01-14 23:15:36
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
誰か赤帽のサポートに訊いてみては? と補講の議論でおっしゃてましたね。公式だとどうかわかりませんがこれが赤帽の人の回答です :-P > "Isn't this just the expected result of using NSEC3 opt-out?" #dnsonsen
2018-01-15 10:25:03
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
ISC (Mark Andrews) の回答。要約「そんなゾーンで dnssec-signzone 使うな」 草 lists.dns-oarc.net/pipermail/dns-… #dnsonsen
2018-01-15 13:05:53
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
ま、opt-out は secure なゾーンがそんなに増えることはないだろ、っていう DNSSEC の敗北宣言なので好きにすればよいです。お前は最初から死んでいる > JP みたいな。#dnsonsen
2018-01-15 15:05:09
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
dig @\8.8.8.8 ns gov\.ac +dnssec +nocd SERVFAIL になる時とならない時がある。負荷分散のインスタンスによって実装が違うのだろうか。
2018-01-16 11:30:01
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
@tss_ontap_o dig @\8.8.8.8 any gov\.ac +dnssec +cd opt-out で exact match の NSEC3 のない ENT (私の問題提起のパターン) だ。 こういうのは放置でいいのかな? AC の人たちや ICANN は。
2018-01-16 11:30:30
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
そんなゾーンで opt-out するな、dnssec- signzone 使うな、ってことでいいのかな > gov\.ac, 以前の aichi\.jp, gouv\.fr などなど
2018-01-16 14:34:39
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
"DO NOT USE THE NSEC3 OPT-OUT BIT." lists.dns-oarc.net/pipermail/dns-… 満足な回答
2018-01-17 16:44:52
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
Insecure delegations (NS without DS) は守られないと彼らは言っているが foobar\.gov\.example は守られるべきゾーン内の名前だということをもう少し考えたら? これ以上突っ込む気もないしどうしたらいいかは知ったこっちゃないが。
2018-01-18 13:32:49
浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
"Real world is few DNSSEC deployment, and hard to imagine that many operators will know what is NSEC3." lists.dns-oarc.net/pipermail/dns-…
2018-01-19 10:35:19