(DNS) Negative Trust Anchors
参考になったのと。備忘録を兼ねて。
最近、DNSSECの話が挙がってたところへ丁度良いネタが。
@OrangeMorishita さんの自分用メモより
【自分用メモ】休暇中にNegative Trust AnchorがRFCになってた。// RFC 7646 - Definition and Use of DNSSEC Negative Trust Anchors https://tools.ietf.org/html/rfc7646
IETF(Internet Engineering Task Force)のRFC7646にあがってた。
RFC 7646 - Definition and Use of DNSSEC Negative Trust Anchors
ちょっと古いけど、JPRSのドメイン名関連会議報告にて、こんなものが
Negative Trust Anchors
DNSSEC署名されたゾーンにおいて運用上の事故や設定ミスが発生した場合、DNSSEC検証を有効に設定しているキャッシュDNSサーバーでは、そのゾーンを含むドメイン名の名前検索ができなくなってしまうことがあります。今回のIETF 86では特定のドメイン名配下のDNSSEC検証をキャッシュDNSサーバー側で一時的に無効にするための「ネガティブトラストアンカー」を導入することで、それらの名前が検索できなくなってしまうことを防止するための仕組みが提案されました(draft-livingood-negative-trust-anchors)。
提案者は米Comcast社のJason Livingood氏とChris Griffiths氏です。同社ではDNSSEC検証を有効にしたキャッシュDNSサーバーを他社に先駈けて運用していますが、今回の提案からは同社がしばしば発生しているDNSSEC検証エラーに悩まされており(*2)、これを解決したいという現状がうかがえます。
(*2)
Comcast社はDNSSEC検証が失敗しているドメイン名の情報を、速報として公開しています(関連URIを参照)。
DNSSEC検証にコケているドメインが引けなくなるので、それを回避するのがNegative Trust Anchors。
でも、あくまで設定ミス?った先方に直して貰う必要はありますが…。
米国のISP、Comcastでは早々にDNSSECを有効化にしていて、検証に失敗しているものを公開(晒し上げ…?)しているようです。
bindだと9.11で実装予定みたいですね(rndc nta)
https://la51.icann.org/en/schedule/mon-tech/presentation-isc-bind-13oct14-en.pdf