アカウント名:
パスワード:
具体的な確認手法(コマンドラインとあるべき結果等)が提示されていない。二次情報に頼らざるを得ないので、罠を混ぜた「対策」をばら撒かれると踏む奴が多発する。
注意喚起してくれるだけでもありがたいのに「関連情報がたりない、もっと充実しろ」とか言い出しちゃう人って
でも言っておけば、IPAあたりが要望に応えてくれそうだし。雑談サイトで言う意味は知らんけど。
その辺の専門的なものを扱う組織ではとっくに確認方法などの情報公開してますよ。今回はそういうのに関わっていなさそうな人たちに注意を喚起しただけです。
具体的な手順が一番必要そうな人たちに対してだけ情報提供してないのか。無能極まりないな
これは一般人は関係ないからDNSを提供してるプロバイダーとかが対応すべき話だから
DNSなんて簡単に構築できるし、別にプロバイダじゃなくても、その辺の一般の会社でも自前で建ててるとこ沢山あるでしょ。……まあ、DNSSECにしてる会社は、皆無に近いような気がするけど。
朝日新聞のこの件に関する記事、この文でDNSSECにたどり着けるユーザは何割くらいいるんだろうと思うくらいひどい。これ読んだ管理職とかがわからないままに変なこと言い出して混乱引き起こすフラグだぞ……
企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ 上栗崇 2017年7月21日21時1分 [asahi.com]
ICANNの本拠がロサンゼルスだとか暗号鍵は256桁の数列(?)だとか瑣末な情報は詳しいのに、肝腎の「契約しているシステム管理業者などに確認を」するためのDNSSECという単語が全く出てこない。
専門用語を使うな〜的な感じなんですかね。括弧付きでいいから、書いておいてくれれば、一発でわかるのに。
DNSSECは有効になってるところは多いんじゃないかな?RHELがデフォルトでONにしてるから。だけど特に設定いじらなければオートアップデートで自動的に対処されてしまうので問題は起きない。
中途半端な管理者がいる会社はやばいよね。自分オリジナルにカスタムすること=仕事をすることって勘違いしてるし、理解できない機能は全部無効にしてしまうから、何もしない方がマシな状態に陥ってしまう。
一般人の一次キャッシュDNSサーバーは大抵ルーターってことを忘れてないかね
だよね。中途半端に古いルータを使っていると「対応できませんので買い替えてください」で終わる可能性もある。
まぁ、最近はONUとルータを通信事業者が貸し出すパターンも多いから、その場合は任せちゃえばいいけどさ。
ルータ内蔵のものはキャッシュしません。単なるフォワーダです。フォワーダの通信相手はISPのキャッシュサーバであり、今回の鍵更新をおこなうルートサーバではありません。よって、鍵更新の影響を受けることはありません。
今回起きそうなトラブルとしては、
(1) 鍵更新それ自体によるトラブル(2) 鍵更新によって応答パケットが大きくなってフラグメンテーションが起き、正しく応答を受け取れなくなるトラブル
のふたつが考えられるという理解でいいのでしょうか?
元コメは、(2)の問題がルータ内蔵のDNS Proxyで起きる可能性についてだと思うのですが、これはゼロとは言えないのでは?
地球上すべての家庭用ルータ内蔵DNSリゾルバが「絶対にキャッシュしない」と何故思った?
一応JPRSが出してる。総務省もJPRSのサイトに誘導するとかあれば優しいんだけどね。https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf [jprs.jp]
DNSサーバ運用してる人ならそれくらい問題ないのではという気もします。対策なんてそれこそ実質的にVerUPでしょうし。
ちなみに、確認するなら、digで+dnssec付ければ、最後にメッセージサイズも出てきてくれます。
フルリゾルバーサービスプログラムのバージョンアップだけではなくてインターネットに出て行くまでのネットワーク機器(ルータ、NAPT装置、ロードバランサー)などの調整が必要な場合がある
意外とDNS PROXYを積んだルータでトラブルが起きたりして。
「意外と」ではなく、一般的にもっとも障害要因に該当しそうなのがそれ
下のリンクにあるが、
http://keysizetest.verisignlabs.com/ [verisignlabs.com]
にアクセスしてチェックすればよろしい。一番下だけが「fail」になればOK。らしい。
違う場合は、誰かフォロー頼む。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
この手の情報でいつも思うこと (スコア:0)
具体的な確認手法(コマンドラインとあるべき結果等)が提示されていない。
二次情報に頼らざるを得ないので、罠を混ぜた「対策」をばら撒かれると踏む奴が多発する。
Re:この手の情報でいつも思うこと (スコア:1)
注意喚起してくれるだけでもありがたいのに「関連情報がたりない、もっと充実しろ」とか言い出しちゃう人って
Re: (スコア:0)
でも言っておけば、IPAあたりが要望に応えてくれそうだし。
雑談サイトで言う意味は知らんけど。
Re: (スコア:0)
その辺の専門的なものを扱う組織ではとっくに確認方法などの情報公開してますよ。
今回はそういうのに関わっていなさそうな人たちに注意を喚起しただけです。
Re: (スコア:0)
具体的な手順が一番必要そうな人たちに対してだけ情報提供してないのか。無能極まりないな
Re: (スコア:0)
これは一般人は関係ないから
DNSを提供してるプロバイダーとかが対応すべき話だから
Re: (スコア:0)
DNSなんて簡単に構築できるし、別にプロバイダじゃなくても、その辺の一般の会社でも自前で建ててるとこ沢山あるでしょ。
……まあ、DNSSECにしてる会社は、皆無に近いような気がするけど。
Re: (スコア:0)
朝日新聞のこの件に関する記事、この文でDNSSECにたどり着けるユーザは何割くらいいるんだろうと思うくらいひどい。
これ読んだ管理職とかがわからないままに変なこと言い出して混乱引き起こすフラグだぞ……
企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ 上栗崇 2017年7月21日21時1分 [asahi.com]
ICANNの本拠がロサンゼルスだとか暗号鍵は256桁の数列(?)だとか瑣末な情報は詳しいのに、肝腎の「契約しているシステム管理業者などに確認を」するためのDNSSECという単語が全く出てこない。
Re: (スコア:0)
専門用語を使うな〜的な感じなんですかね。
括弧付きでいいから、書いておいてくれれば、一発でわかるのに。
Re: (スコア:0)
DNSSECは有効になってるところは多いんじゃないかな?RHELがデフォルトでONにしてるから。
だけど特に設定いじらなければオートアップデートで自動的に対処されてしまうので問題は起きない。
中途半端な管理者がいる会社はやばいよね。
自分オリジナルにカスタムすること=仕事をすることって勘違いしてるし、理解できない機能は
全部無効にしてしまうから、何もしない方がマシな状態に陥ってしまう。
Re: (スコア:0)
一般人の一次キャッシュDNSサーバーは大抵ルーターってことを忘れてないかね
Re: (スコア:0)
だよね。
中途半端に古いルータを使っていると「対応できませんので買い替えてください」で終わる可能性もある。
まぁ、最近はONUとルータを通信事業者が貸し出すパターンも多いから、その場合は任せちゃえばいいけどさ。
Re: (スコア:0)
ルータ内蔵のものはキャッシュしません。単なるフォワーダです。
フォワーダの通信相手はISPのキャッシュサーバであり、今回の鍵更新をおこなうルートサーバではありません。
よって、鍵更新の影響を受けることはありません。
Re: (スコア:0)
今回起きそうなトラブルとしては、
(1) 鍵更新それ自体によるトラブル
(2) 鍵更新によって応答パケットが大きくなってフラグメンテーションが起き、
正しく応答を受け取れなくなるトラブル
のふたつが考えられるという理解でいいのでしょうか?
元コメは、(2)の問題がルータ内蔵のDNS Proxyで起きる可能性について
だと思うのですが、これはゼロとは言えないのでは?
Re: (スコア:0)
地球上すべての家庭用ルータ内蔵DNSリゾルバが「絶対にキャッシュしない」と何故思った?
Re: (スコア:0)
一応JPRSが出してる。総務省もJPRSのサイトに誘導するとかあれば優しいんだけどね。
https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf [jprs.jp]
Re: (スコア:0)
DNSサーバ運用してる人ならそれくらい問題ないのではという気もします。
対策なんてそれこそ実質的にVerUPでしょうし。
ちなみに、確認するなら、digで+dnssec付ければ、最後にメッセージサイズも出てきてくれます。
Re: (スコア:0)
フルリゾルバーサービスプログラムのバージョンアップだけではなくて
インターネットに出て行くまでのネットワーク機器(ルータ、NAPT装置、ロードバランサー)などの
調整が必要な場合がある
Re: (スコア:0)
意外とDNS PROXYを積んだルータでトラブルが起きたりして。
Re: (スコア:0)
「意外と」ではなく、一般的にもっとも障害要因に該当しそうなのがそれ
Re: (スコア:0)
下のリンクにあるが、
http://keysizetest.verisignlabs.com/ [verisignlabs.com]
にアクセスしてチェックすればよろしい。
一番下だけが「fail」になればOK。らしい。
違う場合は、誰かフォロー頼む。