DNSSECの心臓部で、更新しないとクラッカーにばれてしまう
かもしれん
というのはわかるんだけど
移行期間があるせいで無駄に、問い合わせ専門のDNSサーバに悪影響
なのよね
(フルリゾルバーとかキャッシュとかはそれ系)
ルートだから自分で信頼しないとDNSSECの意味がないというね
(これはルートSSL証明書も同じ)
新旧KSKが混在する時期があるから、その分、大きくなるのよね
受け取り情報量がね
DNSSECそのものが、
ルートサーバに、ルート公開鍵とルート秘密鍵があって
ルート公開鍵ってのを、公開だけに公開鍵を問い合わせ専門のDNSサーバ
に取得しておくのよね
(RFC5011で自動更新とかもある)
DNSレコードなんだから、ぽんぽん変更してしまってもいいだろうに…
(旧KSKなしでいきなり新KSK)
0 件のコメント:
コメントを投稿