DNSSECを無効にする方法

Unbound: DNSSECを無効にする方法

By W.C.A. Wijngaards, NLnet Labs, June 2010.

DNSSECが設定されているときに問題を見つけ、その問題が検証と関係があると慎重に評価し、攻撃中ではないと評価しているのであれば、DNSSECを無効にするために以下のステップに従ってもよいでしょう。警告しますが、気軽にDNSSECを無効にしないでくださし。攻撃の被害を受けやすくなります。

管理権限が必要で、設定ファイルを再読み込みするためにサーバを再起動させる必要があります。

1. 寛容なモード

実際にはDNSSECをオフにはしませんが、リゾルバがクライアントに偽の回答を知らせないようにするのをやめます。この解決策は検証の失敗のために遅くなるかもしれませんが、処理を続けることができます。unbound.confファイルに次の記述を追加します:

server:
        val-permissive-mode: yes

2. トラストアンカーを削除する

unbound.confファイルからトラストアンカーの記述を削除すれば、DNSSECは記述を削除した対象のドメインには使われなくなります。

3. validatorモジュールを無効にする

DLVも含め他のドメインの検証も無効にします。unbound.confファイルの記述は次のようになります:

server:
        module-config: "iterator"

4. 壊れている信頼の連鎖を止める

壊れた信頼の連鎖に対処するために、適切なDSやDNSKEYレコードが発行されるまで一時的にunbound.confファイルに次のような記述を加えます:

server:
        domain-insecure: "example"

この文章はUnbound: Howto Turn Off DNSSEC (www.unbound.net)の翻訳です。[翻訳: 滝澤 隆史]