それらをtrusted keyにまとめておくことで、 信頼性を確保する。そういうゆるい運用から始まる、ということだ。 しかし、こうしたゆるい運用はしばらく続くかもしれないし、 もしかしたらずっとそうかもしれない。DNSのルートのドメインが どんだけ安全かは、まったくわからないし、誰も保証してくれない からだ。安全の基準やレベルも合わせられない。

そう考えると、ルートゾーンから、ツリー上に、 ルートの署名を基点としてDNSSECのクエリの安全性を確保できるかというと、 あやしい。自分のことは自分でやる、というインターネットの 精神にも合わない。

$ unbound-host -v -F /usr/local/etc/unbound/trust-keys-file -t ns museum.
museum. has NS record ns.icann.org. (secure)
museum. has NS record ns-ext.vix.com. (secure)
museum. has NS record ns5.knipp.de. (secure)
museum. has NS record nic.icom.org. (secure)
museum. has NS record nic.museum. (secure)

unboundの場合、dnskey を trusted-keys-file にまとめておくとよい。 dnskey は host -t dnskey gov. localhost でわかる。

trusted-keys { 

  se. 257 3 5 AwEAAeeGE5unuosN3c8tBcj1/q4TQEwzfNY0GK6kxMVZ1wcTkypSExLC BPMS0wWkrA1n7t5hcM86VD94L8oEd9jnHdjxreguOZYEBWkckajU0tBW wEPMoEwepknpB14la1wy3xR95PMt9zWceiqaYOLEujFAqe6F3tQ14lP6 FdFL9wyCflV06K1ww+gQxYRDo6h+Wejguvpeg33KRzFtlwvbF3AapH2G XCi4Ok2+PO2ckzfKoikIe9ZOXfrCbG9ml2iQrRNSM4q3zGhuly4NrF/t 9s9jakbWzd4PM1Q551XIEphRGyqcbA2JTU3/mcUVKfgrH7nxaPz5DoUB 7TKYyQgsTlc=

  gov. 257 3 7 AwEAAZ1OCt7zZxeaROvzXNCNlqQWIi++p5ABXSoxqJ65WQko6xrI9RIm K7IBT5roFhXjBDGJ8ld9CYIEN94kK83K/QwUGCJ+v3vIQFi09IqsPeRd HTQyghWWbhzAZpnlZ16imXB4yFZjdbV2iM66KcgsESQMPEcIayDQJh6J Ei1wmslrYvRRJ6YPOWrlLD0RmdtCaRuzlUE0RiWSem/i8vDFdmsSwChR McORklKqjqt1+RBIiEFJGKIz7lGc9DXRwkBfb+halii+jrELiZAPzfO7 rf08l3QlgHEuxclTTdEaxctPd2O2U/Hl9tRgkxRL/Zv1i0sEx2mOJGcU CeVm4Hf2aM8= ;

};

“As from 2008-01-08 .SE will perform a key rollover by publishing and take into use a new KSK for signing the .SE zone file.

The key published 2007 with key id = 6166 is only valid until 2009-01-01. The key published 2008 with key id = 49678 will still be in use for another year.

You should already have configured the key published with start 2008 (Key id = 49678) into your resolvers, if not we strongly recommend you to do so no later than 2008-12-31.

We do advice you to subscribe to the dnssec-announce@lists.nic.se mailing list to get notified about key rollovers and any other important changes.

Questions may be addressed to dnssec-info@iis.se.

Anne-Marie Eklund Lﾃｶwinder
Quality & Security Manager
.SE (The Internet Infrastructure Foundation)
Website: http://www.iis.se

新しいunbound.confを見ると、 dnssec-keysというパッケージを追加すればよい、という コメントがあるのだが、見当たらない。

その他プエルトリコの .pr、スウェーデンの .seもDNSSEC対応。

.mil、.uk、.orgはまもなく対応予定。

 現在利用しているドメイン名の移転を考えています。
(...ドメイン名...)
このドメイン名の名前解決を、自分で運用
しているDNSサーバで処理したいのですが、
御社に指定事業者変更をすると、可能でしょうか？

株式会社かっぺ社の回答の要約:
「きみの設定間違ってるから、うちに来ても無理。来ないで」

今の設定の確認は求めてなくて、オタクに事業者指定を変更したら、 こういうサービスはできるか？と聞いたつもりなんだけど。 「できるようになりますか？」と聞いたのがいけないらしい。 しかし、「自分のDNSサーバを運用したい」という個人の客は 相手にしたくないし、売る気ないんだろうなぁ。売り先はゴマンと あるらしい。だったら安売りしてるのはなぜ？

で、かっぺ社のサービスはこれだという。

なお、弊社サービスは下記になります。
・日本語JPドメインの登録・維持
・汎用JPドメインへの転送設定
・サーバ設定（弊社ウェブサーバをご利用の場合）
※日本語JPドメイン自体の名前解決につきましては行っておりません。

JPRSの回答の要約:
「うちは指定事業者向けの部門で、きみのような個人は相手にしてないんだ。

でも指定事業者をうちに変更したら、うちから送ったパスワードで、 オンライン変更できるよ」

前半が正しいのか、後半が正しいのかまったく理解不能。 JPNICの時代のDNSサービス時代の、理解不能文書が今現在も 脈々と受け継がれている。なんというか全体として鼻をくくったような、 あるいは「煙に巻く」という表現が合う。冷静に考えれば、 前半の文章と後半の文章が、別々の資料から適当に引用されて、 あたかも一つの完結した回答であるかのように見せかけた文章、 というようにも理解できる。

なんといってもJPRSのすごいところは、この文章:

お客様ご自身で、ご用意いただいたサーバ情報
をドメイン名に設定の手続きをしていただくことが可能です。

国語の勉強してほしい。何を何に、ですか？ だいたい、私が聞いたことに回答してないし。 自分のDNSサーバで運用できるか？ と聞いているのに、できるとは 回答していない。設定が変更できる、とだけ。何の設定じゃ？

eドメインで.com社からの回答:

「弊社ではDNSを登録する窓口をご用意しております。
お客様にてご登録いただいたDNS情報を弊社が設定します。

DNS情報をお客様側で自由に設定・管理いただくことは
出来かねますが、意味を取り違えておりましたらご指摘ください。

ご利用方法　ネームサーバー割付...

自分で運用しているDNSサーバを利用できるか？と、聞いたらこの答え。 登録？ DNS情報？ それって何のどこまでのこと？ ネームサーバの「割付」？？？ 割付って、はじめて聞いた。 用語がそろってない。