Name Server 総合スレ【DNS】

[0001 名無しさん＠お腹いっぱい。 2008/11/26(水) 01:14:36]

立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/

[0386 名無しさん＠お腹いっぱい。 2010/06/01(火) 11:01:16]

>>385
そのドメインの設定が腐ってる可能性もあると思うよ。

[0387 名無しさん＠お腹いっぱい。 2010/06/01(火) 23:53:10]

>>368みたいな腐った設定はゴマンとあるしな
stack*は相変わらずlameっぽ

[0388 名無しさん＠お腹いっぱい。 2010/06/02(水) 00:26:34]

>>385
日本でGooglePublicDNS使うとAkamai他のCDN関係を全部日本以外に転送されてしまうから
ウェブブラウズなどが遅くなるだけでうれしいことはなにもないぞ。OpenDNSでも同様。

あれを日本から使ってうれしいのは「自組織以外からDNS参照をおこなったらどうみえるか」を
手軽に検証できることだけ。

[0389 名無しさん＠お腹いっぱい。 2010/06/02(水) 00:47:16]

>>388
1月末に提案されたドラフトは01になったね。
ttp://tools.ietf.org/id/draft-vandergaast-edns-client-ip-01.txt

検証目的であればここも便利
ttp://www.dns-oarc.net/oarc/services/odvr

[0390 名無しさん＠お腹いっぱい。 2010/06/11(金) 00:51:08]

BINDの動的なインターフェースなどのアドレスを一定時間毎に動的にListenする機能って
rootで動かしていないとうまく機能しないのかな？

[0391 名無しさん＠お腹いっぱい。 2010/06/11(金) 01:18:10]

0.0.0.0:53にbindしていただくという方法での回避はできなかったから
やっぱりrootで動かすしかないかなぁ。

[0392 名無しさん＠お腹いっぱい。 2010/06/11(金) 03:05:30]

>>390
リファレンスのinterface-intervalの項目に制約は書かれていないけど駄目？
DebianではPPPのup時にrndc reconfigで回避してる。

[0393 名無しさん＠お腹いっぱい。 2010/06/15(火) 03:17:52]

>>392
ありがとうございます。
reconfigでもやっぱりpermission deniedという理由でbindさせてもらえてませんでした。
restartしてしまえばいいのかな？コストがアレですけど。

[0394 名無しさん＠お腹いっぱい。 2010/06/16(水) 20:49:00]

この板のスーパーハカー様方に質問です。

hamusoku.com. IN NS ns1.domain.livedoor.com
IN NS ns1.domain.livedoor.com
IN CNAME blog-01.livedoor.jp

これってRFC違反だと思うのですがどうでしょう。
ちなみにWIN2008R2のDNSサーバだとエラーになって引けません。
最近のBINDではどうですか？

[0395 名無しさん＠お腹いっぱい。 2010/06/16(水) 21:07:18]

>>394
これいかんね。
http://bonz.squares.net/~dais/misc/rfc1912j.html#cname

[0396 名無しさん＠お腹いっぱい。 2010/06/16(水) 21:20:58]

おかしいね。
とりあえず bind 9.6.1-P1 と unbound 1.4.3 では引けちゃったけど、
エラーにするキャッシュ DNS があったとしても不思議ではない。

ただ、bind ならこういう腐ったゾーンはエラーにして読み込まなかったような。
……と思ったら、なんか nsd っぽいなぁ。
nsd って bind よりゾーンファイルのバリデーションが緩いんだよなぁ。

[0397 名無しさん＠お腹いっぱい。 2010/06/16(水) 22:14:21]

394です。
ありがとうございます。
ライブドアにこんなん引けねーよと言ってみたのですが
「問題を認識できません」て返されました。
こういうお馬鹿さんはどうすればいいんでしょうね。

[0398 名無しさん＠お腹いっぱい。 2010/06/17(木) 00:28:12]

相手にするおまえがおバカさんだ
日本はこういう国になっちまったんだ諦めろもう終わり

[0399 名無しさん＠お腹いっぱい。 2010/06/17(木) 09:40:04]

DNSOPSあたりで話題に出せば誰か反応するかも。

[0400 名無しさん＠お腹いっぱい。 2010/06/17(木) 12:28:36]

TwitterでLivedoorの技術系の中の人に直接つっこんでみるとか

[0401 名無しさん＠お腹いっぱい。 2010/06/18(金) 00:07:12]

>>400

俺もそう思った。
サポートに言っても障害として検知していない状態で、類似のクレームも
他になければ取り合わなさそう。

[0402 名無しさん＠お腹いっぱい。 2010/06/18(金) 03:58:34]

>>399
参加者あまり多くないんじゃない？
空気読まずにjanogとか(w

>>401
国税庁の時も全く返事が来なくて、忘れたころにこっそり直してたな。

[0403 名無しさん＠お腹いっぱい。 2010/06/18(金) 20:04:56]

>>402
DNSOPSをsubscribeしているひとはJANOGもsubscribeしてるだろう

[0404 名無しさん＠お腹いっぱい。 2010/06/21(月) 08:14:22]

JANOGに投げて空気変えてほしいな。

[0405 名無しさん＠お腹いっぱい。 2010/07/01(木) 12:35:08]

るーと更新おめでとう!!
　　　　　　　　　　.o゜*。o
　　　　　　　　　／⌒ヽ*゜*
　　　∧_∧　／ヽ 　 　）｡*o　　ｯﾊﾟ
　 　 (・ω・)丿゛￣￣' ゜
.　 ノ/　 /
　　ノ￣ゝ

[0406 名無しさん＠お腹いっぱい。 2010/07/01(木) 21:37:27]

windowsでもdjbdns使いたいのだが駄目かな

[0407 名無しさん＠お腹いっぱい。 2010/07/01(木) 23:38:26]

>>406
変態

[0408 名無しさん＠お腹いっぱい。 2010/07/02(金) 02:23:48]

>>406
変態だな……。

[0409 名無しさん＠お腹いっぱい。 2010/07/03(土) 00:47:26]

>>406
DJ本人乙

[0410 名無しさん＠お腹いっぱい。 2010/07/03(土) 21:09:28]

愛が感じられるような

[0411 名無しさん＠お腹いっぱい。 2010/07/16(金) 23:29:13]

ルートサーバーがDNSSEC対応したらしいが、
お主らのキャッシュサーバーは対応やった？

[0412 名無しさん＠お腹いっぱい。 2010/07/17(土) 10:25:37]

>>411
うちのはBIND9.6系でトラストアンカーの自動更新は未対応っぽいから
しばらく様子見かな。鍵はどのくらいの間隔で更新されるの？

[0413 名無しさん＠お腹いっぱい。 2010/07/17(土) 11:58:15]

bindは9.7じゃないとsha-2が使えないから、9.6だとそっちが引っかかる。

[0414 名無しさん＠お腹いっぱい。 2010/07/17(土) 12:10:42]

http://www.iepg.org/2009-11-ietf76/rootsign-ietf76-iepg.pdf
によりますと
KSKは2〜5年ごと
ZSKは年4回
だそうですが。

[0415 名無しさん＠お腹いっぱい。 2010/07/17(土) 18:17:22]

>>413
そこは気になったけど、9.6.2rc1で9.7からバックポートされたので問題ないよね？
ttp://lists.isc.org/pipermail/bind-announce/2010-February/000621.html

[0416 名無しさん＠お腹いっぱい。 2010/07/17(土) 18:32:19]

>>414
それなら導入しても大丈夫そうだな。
KSK変わるときはニュースになりそうですし。

ところで、現時点でルートゾーンは署名されたけど、
既にDNSSEC導入済みのTLDへの署名はまだだよね？

これは次のセレモニー以降でZSKの更新の際に行われるのかな。
スケジュールでてる？

[0417 anonymous 2010/07/17(土) 21:49:33]

いくつかのccTLDにDSが入っています。

[0418 名無しさん＠お腹いっぱい。 2010/07/17(土) 22:40:06]

>>417
確かに8個ほど入ってた。.CATなんてあったんだ。
http://www.root-dnssec.org/faq/
dig . AXFR @xfr.lax.dns.icann.org

自ドメインが検証できるようになるまではまだ時間がかかりそうだ。

[0419 名無しさん＠お腹いっぱい。 2010/07/18(日) 00:05:24]

設定方法・・・ってほどでもないけど。
"9.6 or higher"は誤りで"9.6.2 or higher"に訂正予定とのこと。
ttp://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers

keyはコッチで確認すること。
ttps://data.iana.org/root-anchors/

[0420 名無しさん＠お腹いっぱい。 2010/08/12(木) 10:42:04]

>>394
この件と同種？で okwave に質問してる椰子がいるが
「普通のことです。違反でもなんでもありません。」って回答くらってるぞ

どっちが正しいんだ？

http://okwave.jp/qa/q6101868.html

[0421 名無しさん＠お腹いっぱい。 2010/08/12(木) 10:48:17]

okwave の回答が間違ってる。
その回答に対する質問主のフォローが正解。

[0422 名無しさん＠お腹いっぱい。 2010/08/12(木) 11:01:57]

そうか

いやなに、俺が立ててる DNS サーバーでも
ライブドアのあれみたいな書き方やってるんだw
ホスト名なしのドメイン名を別ホストへcnameさせてる。

A レコード書くと、ホスト引っ越しのときに不便なんだが。。
今のところクレーム来てないが、バレる前に直しておいたほうがいいのか

[0423 名無しさん＠お腹いっぱい。 2010/08/12(木) 11:59:26]

質問の仕方がまずいんだと思う。
「Aの別名にBを使っているけどいいの?」って読みとられてしまっているよね

[0424 名無しさん＠お腹いっぱい。 2010/10/14(木) 01:08:48]

DNS障害でYahooのほとんどのサービスが落ちてたね

[0425 名無しさん＠お腹いっぱい。 2010/10/14(木) 01:44:18]

具体的にはどーだったの？
hostやdigで単純に引くとaレコードが帰ってこなくて
明示的にaレコードを指定すると戻ってきたみたいだけど

[0426 名無しさん＠お腹いっぱい。 2010/10/14(木) 10:02:45]

primary name server = yahoo.co.jp
responsible mail addr = postmaster.yahoo.co.jp
serial = 2010101401
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 86400 (1 day)
default TTL = 900 (15 mins)

丸１日は途中のDNSがキャッシュ値を返してくれるの？

[0427 名無しさん＠お腹いっぱい。 2010/10/15(金) 14:06:25]

自分が参照してるキャッシュのタイミング次第だろ。

expire直前にヤフーが死ねばすぐにアウトになる。

なんか、負荷分散サーバの障害とかいうてるみたいだけど、
権威サーバをIPAnycast化とかしてたんかな？

それともYahooクラスだと権威サーバでもロードバランサ
入れないとダメポなくらい負荷高いのかね？

[0428 名無しさん＠お腹いっぱい。 2010/10/15(金) 18:27:53]

普通はBindで困ることって特にないよな。
DNS運用業者やってたときは、10万ドメイン以上あったから色々考えることあったけども。

[0429 名無しさん＠お腹いっぱい。 2010/10/18(月) 11:37:39]

「BIND」な。

[0430 名無しさん＠お腹いっぱい。 2010/10/25(月) 18:53:45]

2008R2 な DNS 鯖だと
recruit.co.jp のドメイン情報が全く読めないんだが
SOA レコードすら引けない。
なんでだ！？

2003 な DNS 鯖で引くと大丈夫

[0431 430 2010/10/25(月) 18:59:20]

>>394 と同じ理由？
とりあえず、2008R2 の DNS 鯖で ISP の DNS にフォワーダかけたらうまくいく。

[0432 名無しさん＠お腹いっぱい。 2010/10/25(月) 19:02:45]

Windowsの話はよそでやったら。

[0433 名無しさん＠お腹いっぱい。 2010/10/25(月) 19:03:13]

>>430
ポートが開いてないんだろ

[0434 名無しさん＠お腹いっぱい。 2010/10/25(月) 20:01:58]

他は引けるからポートの問題じゃないよ

[0435 名無しさん＠お腹いっぱい。 2010/10/25(月) 20:24:37]

recruit.co.jp が特定の環境下で名前解決できないという話は別の所でもでていたような…
janogだったかdnsopsだったか

[0436 名無しさん＠お腹いっぱい。 2010/10/26(火) 00:30:25]

512バイト超えてるんだろう

[0437 名無しさん＠お腹いっぱい。 2010/10/26(火) 22:07:15]

recruit.co.jpはこれと同じ原因だよ
ttp://www.vwnet.jp/Windows/WS08R2/EDNS0/EDNS0.htm

[0438 名無しさん＠お腹いっぱい。 2010/11/06(土) 03:43:18]

BIND10使ってるひとどのくらいいますか？

[0439 名無しさん＠お腹いっぱい。 2010/11/08(月) 11:16:37]

20人くらい。

[0440 名無しさん＠お腹いっぱい。 2010/11/26(金) 11:36:45]

政府によるDNSポイゾニングっていよいよ本格的に始まったんじゃない？
検出した気がする
先日の法相更迭はサインを渋ったからだとみた

[0441 名無しさん 2010/11/27(土) 15:55:54]

DNSSEC対応どーすんべ。。。

[0442 名無しさん＠お腹いっぱい。 2010/11/27(土) 17:31:50]

>>441
慌てる必要はないよ。必要になったらやればいい。

[0443 名無しさん＠お腹いっぱい。 2010/12/02(木) 00:57:02]

眺めている段階

[0444 名無しさん＠お腹いっぱい。 2010/12/02(木) 16:15:10]

BIND: cache incorrectly allows a ncache entry and a rrsig for the same type
Versions affected: 9.6.2 - 9.6.2-P2, 9.6-ESV - 9.6-ESV-R2, 9.7.0 - 9.7.2-P2
Severity: High
https://www.isc.org/software/bind/advisories/cve-2010-3613

BIND: Key algorithm rollover bug in bind9
Versions affected: 9.0.x to 9.7.2-P2, 9.4-ESV to 9.4-ESV-R3, 9.6-ESV to 9.6-ESV-R2
Severity: Low
https://www.isc.org/software/bind/advisories/cve-2010-3614

BIND: allow-query processed incorrectly
Versions affected: 9.7.2-P2
Severity: High
https://www.isc.org/software/bind/advisories/cve-2010-3615

[0445 名無しさん＠お腹いっぱい。 2010/12/02(木) 16:37:31]

http://ya.maya.st/d/201012a.html#s20101201_1
CNAME の間違った使い方

>>394-397

[0446 名無しさん＠お腹いっぱい。 2010/12/02(木) 16:55:57]

http://blog.livedoor.jp/techblog/archives/65340720.html
> ライブドアドメインではこれまでdjbdnsを使用していましたが、
> 今年の11月1日にNSDというソフトウェアにリニューアルしまして、
> 新機能と同時にこのCNAME問題に対応しました。

やっと対応したって事かな。

[0447 名無しさん＠お腹いっぱい。 2010/12/03(金) 01:23:19]

localhost.livedoor.jp has address 127.0.0.1
localhost.livedoor.com has address 127.0.0.1

この設定はよろしくないらしいけど削除するとまずいことでもあるのかな。

http://www.securityfocus.com/archive/1/486606

[0448 名無しさん＠お腹いっぱい。 2010/12/03(金) 10:35:56]

/etc/hosts に localhost がなかったり、
あっても hosts を参照せずいきなり DNS に聞く実装でも、
resolv.conf に search livedoor.jp と書いてあれば
localhost を問い合わせても 127.0.0.1 がちゃんと返ってくる。

……というメリットはあるけど、たいしたメリットでもないので
消してもいいと思う。

[0449 名無しさん＠お腹いっぱい。 2010/12/03(金) 10:59:18]

デメリットを聞いてるんだが

[0450 名無しさん＠お腹いっぱい。 2010/12/03(金) 11:20:17]

だからそういう環境で localhost の名前解決ができなくなるんだってば。

FQDN じゃなかったら勝手にドメイン名を補完してしまうものもあるので、
localhost. のゾーンを作っておけば済むという話じゃないんだな。

[0451 名無しさん＠お腹いっぱい。 2010/12/03(金) 19:53:34]

searchオプションの恩恵うける場面てそんなに多いのかな？
外の人にとっては意味ないし、中の人にしたってプログラムがsearch依存で名前解決するのも気持ち悪いだろうし。

[0452 名無しさん＠お腹いっぱい。 2010/12/03(金) 20:19:29]

>だからそういう環境で localhost の名前解決ができなくなるんだってば。

つまりそれ以外のデメリットは無いということですね。

それならば削除する必要はないですね。

[0453 名無しさん＠お腹いっぱい。 2010/12/03(金) 21:18:51]

>>452は>>447のリンク先を日本語で解説してくれる人を釣ろうとしてるの？

[0454 名無しさん＠お腹いっぱい。 2010/12/03(金) 21:22:34]

なるほど！

[0455 名無しさん＠お腹いっぱい。 2010/12/03(金) 21:51:53]

ローカルＰＣで個人用ブックマークの検索サーバを立てた人がいるとする。

Referer: http://your.private.pc/search?q=hoge

からこの検索サーバのURLを知った攻撃者は、
こりゃ脆弱そうなURLだわいと何らかの方法で

http://localhost.livedoor.jp/search?q=<;script>...</script>

を本人に踏まさせて、実際に脆弱でかつlivedoor利用者であれば
livedoor.jpのCookieの詐取に成功する。

CUPSのような広く知られたものがあれば後半だけでいい。

こんなとこ？

[0456 名無しさん＠お腹いっぱい。 2010/12/05(日) 13:02:44]

あとはNXDOMAIN連発とか？

[0457 名無しさん＠お腹いっぱい。 2010/12/06(月) 00:59:34]

こういうの一度書いちゃうとなかなか消せないんだよね。
副作用が怖くて。

[0458 名無しさん＠お腹いっぱい。 2010/12/06(月) 09:19:43]

なくなって困るのは中の人くらいじゃないの？
中からの問い合わせからだけ名前解決するんじゃだめなん？

[0459 名無しさん＠お腹いっぱい。 2010/12/07(火) 02:47:47]

AmazonのDNS　これいいんじゃない？
http://aws.amazon.com/route53/
http://aws.typepad.com/aws_japan/2010/12/amazon-route-53-the-aws-domain-name-service.html

[0460 名無しさん＠お腹いっぱい。 2010/12/07(火) 03:47:54]

Wikileaksをホスティングしていることでもおなじみの信頼と実績だな

[0461 名無しさん＠お腹いっぱい。 2010/12/07(火) 08:07:03]

アタックされたから追放したんじゃなかったのか

[0462 名無しさん＠お腹いっぱい。 2010/12/10(金) 00:21:00]

>>459
まだこんな馬鹿がいるのか

[0463 名無しさん＠お腹いっぱい。 2010/12/10(金) 21:27:40]

>>459
-DDoSを喰らったときの課金のありよう
-名前参照が終わるまで多段*4の参照が発生する
等を考えると若干首を傾げる。
Amazonにしては詰めの甘さを感じずにいられない。

Amazonがわのメンテナンスの都合でネームサーバのIPアドレスを
任意につけかえられるように設計するとこうなるのはわかるけれど。

[0464 名無しさん＠お腹いっぱい。 2011/01/07(金) 02:19:48]

2010年はBIND9の脆弱性が多くて嫌になった
でもUnboundとかnsdに移行する勇気がないヘタレ

[0465 名無しさん＠お腹いっぱい。 2011/01/07(金) 10:07:11]

数としてはたしかに多かったけど、dnssec を有効にしてなければ
放置しても問題ないものがほとんどだった気が。
dnssec はまだ本格的に使われてないからコードが枯れてないんだよね。
とはいえ、nsd/unbound は問題を起こしてないからそれを言い訳にはできないけど。

[0466 名無しさん＠お腹いっぱい。 2011/01/07(金) 10:11:13]

見つかってないだけかも。

[0467 名無しさん＠お腹いっぱい。 2011/01/07(金) 16:09:39]

Unboundはキャッシュとして使う限りはBIND9と遜色ない
機能はあると思う。DNSSEC validatorとしては最新の仕様に
追従してるし、ローカルデータもフォワーディングゾーンも設定できる。
Unboundに無い機能ってviewくらい？

[0468 名無しさん＠お腹いっぱい。 2011/01/07(金) 21:21:11]

>>467
Unboundはラウンドロビンを無視してTTLが切れるまで常に同じアドレスを返す
というちょっと切ない仕様があったけどアレはその後どうなったのかな

[0469 名無しさん＠お腹いっぱい。 2011/01/07(金) 22:03:15]

最新の1.4.7でもラウンドロビンしないよ
権威サーバから教えてもらった順番のまま答える

> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99
> dig +short @localhost www.l.google.com
66.249.89.104
66.249.89.99

[0470 名無しさん＠お腹いっぱい。 2011/01/07(金) 22:17:59]

権威サーバから得たデータは変にいじらずにそのまま
クライアントに返すべきだ、DNSの仕様にもラウンドロビンなんて
定義されてない、というのがUnbound側としての立場だったはず。

とはいえ、ラウンドロビンは必要な機能なんだろうなぁ
Windows Vista は複数Aレコードを得ると
RFC 3484 Rule 9 にしたがって特定のIPを選択
するのでラウンドロビンが効かないんだけど、
Win7 はラウンドロビンが効くように変更されたりしてるし

[0471 名無しさん＠お腹いっぱい。 2011/01/07(金) 22:21:23]

UNIXの getaddrinfo()もラウンドロビンが効くように変更してください！

[0472 名無しさん＠お腹いっぱい。 2011/01/14(金) 01:17:03]

BSDやglibc派生のスマフォンは
DNSラウンドロビン的にどう動くんだろ？

[0473 anonymous 2011/01/18(火) 23:57:00]

いよいよjpドメインでもDNSSEC使えるようになりましたが、
おまえらDNSSEC使いますか？

[0474 名無しさん＠お腹いっぱい。 2011/01/19(水) 18:03:47]

いやべつに

[0475 名無しさん＠お腹いっぱい。 2011/01/19(水) 19:35:29]

そのうち対応しないととは思っているが検証が面倒くさい
今のところキャッシュDNS鯖の負荷が無駄にあがってるだけだな

[0476 anonymous 2011/01/19(水) 19:56:58]

DNSSECは効果の割に苦労が大きすぎるから普及は難しいんじゃないか
キャッシュはともかく、権威サーバの運用がとっても面倒だからなー

だいたいDNSSECなしのDNSだってちゃんと運用できてねーし
DNSSECがまともに運用できるとはおもえない

[0477 名無しさん＠お腹いっぱい。 2011/01/19(水) 20:15:30]

なんか IA64(itanium) の大風呂敷を広げたけど受け入れられず、
中庸な AMD64 が受け入れられるような感じ。

だれか DNSSEC よりもうちょっと手軽な仕組みを考えないかな

今思いついたアイデア：

署名の連鎖を考えず、
1.ドメイン(例：example.jp)の管理者は、自分の権威サーバに各種レコードと一緒に、証明書を意味するレコード(Xとする)も登録する
2.ドメイン管理者は、ベリサインから証明書を取得したとする。
3.リゾルバは、example.jp ゾーンの問い合わせをしたときに、ベリサインにも証明書の鍵? みたいなの(Yとする)を取得する。
4.XとYをつじつまが合えば、ドメイン example.jp はクラックされていないと判断する。

SSL みたいにすれば、署名の連鎖とか考えなくてすむんだけどどうでしょう。

[0478 anonymous 2011/01/19(水) 20:35:41]

とりあえずはTXIDを128ビットとかに
増やすだけでよかったんじゃね
source port randomizationや0x20のやってることの本質は
それだし

[0479 名無しさん＠お腹いっぱい。 2011/01/19(水) 20:54:39]

>>477
それをやると証明書屋さんばっかり儲かっちゃうのよね。
SSL って netscape の独自規格が元になってるので、
政治的な話とは無関係に仕様が決まっちゃったけど、
インターネットのガバナンスってそういう特定の誰かに
集中/依存する仕組みを嫌うんだよね。

そうはいってもすべてを分散管理できる仕組みなんて作れないので、
IANA とか ICANN とかの組織にそういうのまかせるようにしてあるんだけど、
それでもなお不満がある人も多いわけで。
これが営利の私企業だったらどうなっていたことか、と。
SSL 証明書ってインターネットにおいては営利企業が牛耳ってる数少ない例外なんですよ。

[0480 名無しさん＠お腹いっぱい。 2011/01/19(水) 21:16:02]

>>476
DNSSEC は付け焼き刃の勉強ではすぐにボロが出て失敗するので、
よほど自信あるかよほどの物好きでなければはじめから手を出さない方がいい。
概要だけ理解して、必要だと思えば信頼できる業者にアウトソースする、
つまり手間はかけずに金をかけるのが正しい道だと思う。

もっとも、信頼できる業者がどれだけ存在するのかはなはだ疑問ではあるが。

[0481 名無しさん＠お腹いっぱい。 2011/01/19(水) 21:22:08]

>>479
PKIの維持ってコストがかかるから儲からないとやってられんでしょう
DNSSECのコストをエンドユーザに転嫁しないモデルで、
本当にやっていけるのかねぇ

[0482 名無しさん＠お腹いっぱい。 2011/01/20(木) 12:24:39]

下のはフィッシング用？のコピーサイトなんだけど
正引きしても本家のウォルマートのIP返す

これって技術的にどうやってんの？

ちなみにトップページだけコピーしてるみたいでaguseでチェックしても安全と判定される

http://walmart.f8f8.us/

[0483 名無しさん＠お腹いっぱい。 2011/01/22(土) 16:11:45]

http://www.google.co.jp/search?q=site:arpa

arpaにAレコード作ると何か便利なことでもあるの？

[0484 名無しさん＠お腹いっぱい。 2011/01/22(土) 23:02:12]

ただの設定ミスのような気がする

[0485 名無しさん＠お腹いっぱい。 2011/01/23(日) 17:27:29]

walldnsみたいなことができる。