はじめに DNSSECで使われる署名鍵はKSK（Key Signing Key）とZSK（Zone Signing Key）の２種類があります。 TLDゾーンのZSKについて、どの署名アルゴリズムがよく使わええているか、調べました。 調べ方 まず、TLDの一覧をIANAから取得します。 https://data…

はじめに Google Chromeでは、デベロッパーツールにて以下のように、閲覧しているウェブサイトの証明書がどのCTログサーバーに登録されているのか表示することができます。 例えば、google.comにて表示しています。 certificate-transparency-google.com Goo…

dnspythonのサンプルコードをさらします。 dnspythonで非再帰問い合わせをしつつ、ついでにNSIDも取得してます。 NSIDは、EDNSオプションで使うことのできるもので、実際に応答をした権威DNSサーバー（IP Anycastなどで負荷分散されているDNSサーバーへの問…

はじめに 証明書を発行しようとする認証局は、必ず対象のドメインについてCAAレコードをチェックする必要があります。 Before issuing a certificate, a compliant CA MUST check for publication of a relevant CAA Resource Record set. tools.ietf.org ド…