身近なリゾルバーのDNSSEC検証の有無
きっかけ
DNSSEC 署名検証チェック https://t.co/leUckKrt5A
— 浸透いうな/伝播いうな/反映いうな (@tss_ontap_o) 2017年8月8日
アクセス可能なリゾルバーが検証しているか、していないかを調べてください。よろしく。
— DNSはインフラですか (@beyondDNS) 2017年8月8日
dnssec-failed.orgとは
dnssec-failed.org | DNSViz
DNSSECの状態を可視化できるDNSVizというサイトを見るとわかりやすい。
KSKのDNSKEYと、上位のゾーン(org)に登録されているDSレコードが等価でないので信頼の連鎖が途切れている状態。
つまり、DNSSEC検証が失敗するはずのドメイン名。
DROWN(CVE-2016-0800)のセキュリティチェックツールをインストールしてた@CentOS6.7
きたる2016/3/1に予告されてたOpenSSLのセキュリティアドバイザリのなかで脆弱性が公開されましたね。
OpenSSL Security Advisory [1st March 2016]
そのなかで、大きく取り上げられているのがCVE-2016-0800、愛称が「DROWN」という脆弱性です。
脆弱性自体の詳細は他のまとめサイトなどを参照してみてください。
OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog
サーバー管理者として気になるのは、自身の運用しているサーバーに脆弱性があるか/ないかですね。
SSLv2なんて随分の昔に無効化してるよって思っても意外に、残ってたりするんです。
なので外部チェックは大事です。
SSLCipherSuite設定メモ2
以前、SSLCipherSuite設定メモ - ゆとりインフラエンジニアのブログ的な何か
下記SSLのチェックサイトで、
SSL Server Test (Powered by Qualys SSL Labs)
あるサーバーでのWEBサイトの結果が、
SSLCipherSuiteの設定がA判定がでるサイト同じなのに、A判定にならないと悩んででいたのです。
出てくるアドバイス的なものを見ると、
The server does not support Forward Secrecy with the reference browsers
続きを読む