更新
python26-2.6.5 < needs updating (port has 2.6.5_1)
unboundのMLにポストされていたスクリプトを使ってroot DNSSECのトラストアンカーを登録してみた。
必要なもの(FreeBSDの場合)
- http://www.unbound.net/pipermail/unbound-users/2010-July/001228.htmlに添付されているanchors2ds.xsl
- http://www.unbound.net/pipermail/unbound-users/2010-July/001252.htmlに添付されているMakefile
- ftp/wget
- security/ca_root_nss
- security/gnupg1
- textproc/libxslt
簡単な手順
1)https://data.iana.org/root-anchors/icann.pgpをgpgにimportする。(wget https://data.iana.org/root-anchors/icann.pgp && gpg --import icann.pgp)
2)make
3)2でできたroot-anchors.txtをunbound.confのauto-trust-anchor-file:に登録する。(auto-trust-anchor-file: "/usr/local/etc/unbound/root-anchors.txt")
4)unboundを再起動する。(unbound-control reload等)
5)dig(unbound-host)で確認する。(dig . ns +dnssec/unbound-host -v -f /usr/local/etc/unbound/root-anchors.txt -t ns .等)
以上:-)
一度登録したらあとはほっといても大丈夫なはず。autoなわけだし(自信なし)
追記 7/22
ftp://ftp.internic.net/domain/root.zone.signedとかあったのでgrepかけてみた。
. 86400 IN SOA a.root-servers.net. (ry 2010072101 (ry bg. 172800 IN DS 46846 5 1 1D83F(ry bg. 172800 IN DS 46846 5 2 26811(ry br. 172800 IN DS 41674 5 1 EAA09(ry cat. 172800 IN DS 33436 10 2 E1A0F(ry cz. 172800 IN DS 7978 5 1 9B6C3(ry cz. 172800 IN DS 9988 5 1 AA94D(ry lk. 172800 IN DS 181 5 1 A1907(ry lk. 172800 IN DS 181 5 2 87516(ry na. 172800 IN DS 24484 5 1 EFC19(ry org. 172800 IN DS 21366 7 1 E6C17(ry org. 172800 IN DS 21366 7 2 96EEB(ry tm. 172800 IN DS 28935 7 1 C9660(ry tm. 172800 IN DS 28935 7 2 0C30A(ry uk. 172800 IN DS 15191 8 2 A057C(ry
結構登録されてるのね。これならupdate-itar.sh止めて、unbound.confからtrust-anchor-file: "/usr/local/etc/unbound/anchors.mf"を削ってもよさそう。