DNSSECの導入 その4

とりあえずこのサイトのドメイン(eastforest.jp)にDNSSEC導入完了!

とはいってもレジストラのさくらインターネットさんがまだDNSSECのDSレコード(KSK公開鍵のハッシュ)の登録を受け付けていないので、外部からこのドメイン(eastforest.jp)のDNSSEC検証はできません。
DNSSECに対応させたのでdigコマンドを使えば各レコードの署名は確認できます。
せっかくDNSSECに対応させたのだから、DNSSECの検証が成功したフラグ(flags:ad)を立たせたい。しかしDSレコードが上位ゾーンに登録されていないので信頼の連鎖が形成されずこのフラグが立ちません。
なのでとりあえずなのです。

信頼の連鎖はできていないですが、なんとかDNSSECの検証を成功させたい・・・
たぶんトラストアンカーをこのドメイン(eastforest.jp)で開始、または追加をさせることで可能だろうと思いnamed.confのトラストアンカーの設定を眺めたり、ネットで調べまくりました。
BINDのバージョンが9.8なのでネット上に情報が少なく、9.7とも微妙に設定が違う気がして結構苦労しましたが、なんとかできました。
自環境のDNSSECに対応させたキャッシュDNSサーバに、eastforest.jpのKSKのDNSKEYをトラストアンカーとして追加し、検証可能となりました。

# dig eastforest.jp +dnssec

;; ->>HEADER<

かなり満足。
設定方法はまた機会があれば。参考にさせていただいたサイトもその時に。