webサイト運営用に専用サーバーをたてています。
サブドメインなどの管理する為の、権威ネームサーバーをBIND9.8で設定しているのですが、
DNSSECの必要性をお教えいただけませんか?
コンテンツサーバーのみを立て、キャッシュサーバーは立てません。
サブドメインなど、自分の管理するゾーン情報のみに答え、再帰的問合せを許可しない、(recursion no;)。このようなコンテンツサーバーです。
いろいろと検索して調べているのですが、
キャッシュポイズニングは、キャッシュサーバーに仕掛ける攻撃なので、
再帰的問合せを無効にした、キャッシュサーバーとしての機能がなければ、DNSキャッシュポイズニング攻撃そのものを回避できる(DNSSEC不要)と書かれているものがあれば、コンテンツサーバーにもDNSSECは必要であるという記事も多く見ます。
コンテンツサーバーのDNSSEC設定は少し難しそうですし、サイトを稼働しながらのKSK、ZSKの更新など、不安要素があるので、できることなら避けて通りたいのが正直なところです。
※もちろん必要であれば設定しますが。
どなたかご教授いただけませんでしょうか。
↧