2019/01/16

ルートゾーンKSKロールオーバーで思うこと

DNSSECの心臓部で、更新しないとクラッカーにばれてしまう
かもしれん
というのはわかるんだけど

移行期間があるせいで無駄に、問い合わせ専門のDNSサーバに悪影響
なのよね
(フルリゾルバーとかキャッシュとかはそれ系)
ルートだから自分で信頼しないとDNSSECの意味がないというね
(これはルートSSL証明書も同じ)
新旧KSKが混在する時期があるから、その分、大きくなるのよね
受け取り情報量がね

DNSSECそのものが、
ルートサーバに、ルート公開鍵とルート秘密鍵があって
ルート公開鍵ってのを、公開だけに公開鍵を問い合わせ専門のDNSサーバ
に取得しておくのよね
(RFC5011で自動更新とかもある)

DNSレコードなんだから、ぽんぽん変更してしまってもいいだろうに…
(旧KSKなしでいきなり新KSK)

0 件のコメント: