概要
DNSには、応答の完全性を保つために使われるDNSSECという技術があります。 DNSSECで用いられる鍵の一種であるKSK(鍵署名鍵)について、複数のTLD(トップレベルドメイン)間での共用があることを見つけたのでメモします。
調べ方
まず、トップレベルドメインの一覧を以下から取得します。
上記一覧をもとに、各TLDに対して、DNSKEYレコードをdigで問い合わせます。これで、KSKの公開鍵を得ることができます。 (KSKの情報だけが取れるように、適当にgrepしています。)
$ dig +rec @適当なフルリゾルバ com -t DNSKEY | grep DNSKEY | grep -v '^;' | grep 257 com. 1461 IN DNSKEY 257 3 8 AQPDzldNmMvZFX4NcNJ0uEnKDg7tmv/F3MyQR0lpBmVcNcsIszxNFxsB fKNW9JYCYqpik8366LE7VbIcNRzfp2h9OO8HRl+H+E08zauK8k7evWEm u/6od+2boggPoiEfGNyvNPaSI7FOIroDsnw/taggzHRX1Z7SOiOiPWPN IwSUyWOZ79VmcQ1GLkC6NlYvG3HwYmynQv6oFwGv/KELSw7ZSdrbTQ0H XvZbqMUI7BaMskmvgm1G7oKZ1YiF7O9ioVNc0+7ASbqmZN7Z98EGU/Qh 2K/BgUe8Hs0XVcdPKrtyYnoQHd2ynKPcMMlTEih2/2HDHjRPJ2aywIpK Nnv4oPo/ $
DNSKEYレコードの末尾に書かれているデータが、base64でエンコードされたKSKの公開鍵です。 全TLDに対してこれを行い同じKSKの公開鍵が書かれていないか確認します。
結果
以下の表の結果となりました。 グループの番号が同一のTLDについては、同一のKSKを使っていました。
グループ | A-label | U-label | TLD MANAGER | Technical Contact |
---|---|---|---|---|
1 | XIHUAN. | XIHUAN. | QIHOO 360 TECHNOLOGY CO. LTD. | Beijing Tele-info Network Technology Co., Ltd. |
1 | YUN. | YUN. | QIHOO 360 TECHNOLOGY CO. LTD. | Beijing Tele-info Network Technology Co., Ltd. |
1 | SHOUJI. | SHOUJI. | QIHOO 360 TECHNOLOGY CO. LTD. | Beijing Tele-info Network Technology Co., Ltd. |
1 | ANQUAN. | ANQUAN. | QIHOO 360 TECHNOLOGY CO. LTD. | Beijing Tele-info Network Technology Co., Ltd. |
1 | XN--3DS443G. | .在线 | TLD REGISTRY LIMITED | Beijing Tele-info Network Technology Co., Ltd |
1 | XN--FIQ228C5HS. | .中文网 | TLD REGISTRY LIMITED | Beijing Tele-info Network Technology Co., Ltd. |
1 | XN--RHQV96G. | .世界 | Stable Tone Limited | Building 21, 1 Gaolizhang Road, Haidian District |
1 | XN--NYQY26A. | .健康 | Stable Tone Limited | Building 21, 1 Gaolizhang Road, Haidian District |
2 | RIO. | RIO. | Empresa Municipal de Informatica SA - IPLANRIO | NIC.br Registry Services - Tech Contact |
2 | UOL. | UOL. | UBN INTERNET LTDA. | NIC.br Registry Services - Tech Contact |
2 | GLOBO. | GLOBO. | Globo Comunicacao e Participacoes S.A | NIC.br Registry Services - Tech Contact |
2 | BOM. | BOM. | Nucleo de Informacao e Coordenacao do Ponto BR - NIC.br | Frederico Augusto de Carvalho Neves |
2 | FINAL. | FINAL. | Nucleo de Informacao e Coordenacao do Ponto BR - NIC.br | Frederico Augusto de Carvalho Neves |
3 | XN--XHQ521B. | .广东 | Guangzhou YU Wei Information Technology Co., Ltd. | Guangzhou YU Wei Information Technology Co., Ltd. |
3 | XN--1QQW23A. | .佛山 | Guangzhou YU Wei Information Technology Co., Ltd. | Guangzhou YU Wei Information Technology Co., Ltd. |
4 | XN--IO0A7I. | .网络 | Computer Network Information Center of Chinese Academy of Sciences (China Internet Network Information Center) | Computer Network Information Center of Chinese Academy of Sciences (China Internet Network Information Center) |
4 | XN--55QX5D. | .公司 | Computer Network Information Center of Chinese Academy of Sciences (China Internet Network Information Center) | Computer Network Information Center of Chinese Academy of Sciences (China Internet Network Information Center) |
5 | XN--FIQS8S. | .中国 | China Internet Network Information Center (CNNIC) | China Internet Network Information Center (CNNIC) |
5 | XN--FIQZ9S. | .中國 | China Internet Network Information Center (CNNIC) | China Internet Network Information Center (CNNIC) |
実害
実質的にはないのかもしれません。 強いて言うと、KSKが危殆化した時の影響が共用している他のTLDにも及ぶことになると思います。