DNS Summer Days 2014 2日目

西口昌宏 @mahbo

#dnsops DNS Summer Days 2日目始まった

西口昌宏 @mahbo

#dnsops DNSSEC Updateから

西口昌宏 @mahbo

#dnsops 新gTLDはDNSSECが必須となっているため、TLDのDNSSEC導入は急増

西口昌宏 @mahbo

#dnsops DNSSECの普及度について。DNS Summer Days 2013と同じ手法で計測。Alexa上位のなかで署名済みは0.80%から0.997%へ

西口昌宏 @mahbo

#dnsops TLDごとの普及状況。JPは ランク外。全体として普及は徐々に増えている。

西口昌宏 @mahbo

#dnsops ICANN50でDNSSECワークショップ開催。AFNICでのDNSSEC摘要キャンペーンの結果1.26倍登録増。

西口昌宏 @mahbo

#dnsops Windows 2012サーバにDNSSEC適用のための導入資料が公開。nslookupではできないがPowerShellでDNSSEC適用が調べられる

Takashi Takizawa @ttkzw

PowerShell用 Resolve-DnsName technet.microsoft.com/en-us/library/… #dnsops

西口昌宏 @mahbo

#dnsops First-Fragment piggybacking attacksの攻撃が懸念されている。

Yasuhiro Morishita @OrangeMorishita

昨日は「砂漠に水」状態だったのでたくさん作ってみた。 #dnsops pic.twitter.com/7iJCHndKdR

拡大

西口昌宏 @mahbo

#dnsops JP DNSサーバでDS RRのTTL値を変更。間違った申請の復旧を速くするため。

西口昌宏 @mahbo

#dnsops 各TLDでDNSSEC対応は進んでいる。ただ権威サーバ/キャッシュサーバでも一般の普及はまだまだ。

西口昌宏 @mahbo

#dnsops 新たな攻撃や運用失敗などの懸念があるものの、普及するための試みも続いていると。

Hodaka @Afusaka

つぶらな瞳 #dnsops

西口昌宏 @mahbo

#dnsops 大本さんに続いて其田さんの発表

Yasuhiro Morishita @OrangeMorishita

参考：2013年8月にやらかした.gov型のDNSSEC運用ミス（親のDSの更新前に自分のDNSKEYを切り替えて自爆）は一部関係者の間で「USGBKR」と呼ばれている。 #dnsops

Yasuhiro Morishita @OrangeMorishita

USGBKR = US Government Botched KSK Rollover （米国政府型KSKロールオーバーヘマ？） #dnsops

西口昌宏 @mahbo

#dnsops 委任で使われるNSとグルーは署名されないので毒入れ可能。ただDSレコードの毒入れは不可

Yasuhiro Morishita @OrangeMorishita

其田さんがdelegationを狙った毒入れについてのDNSSEC検証結果を話し中。 #dnsops

西口昌宏 @mahbo

#dnsops DSレコードが有れば不在証明できる。

Takashi Takizawa @ttkzw

NSEC3沼w #dnsops

Yasuhiro Morishita @OrangeMorishita

其田さん：NSEC3 OptOutの時の検証で2週間ぐらいはまったとのこと。 #dnsops

西口昌宏 @mahbo

#dnsops 署名したゾーンとセキュアな委任が有れば、権威がある応答は毒入れされてもスタブリゾルバに偽の応答は返さない

Mitsuru SHIMAMURA @smbd

"NSEC3沼"とは…ｗ #dnsops

西口昌宏 @mahbo

#dnsops 難しくて呟けない