2011年11月11日(金) ■ RRSIG の有効期間 _ fbi.gov が DNSSEC fail してるよー、という話が聞こえてきたんだけど、うちの環境では ad フラグが立ったまま。dig の出力をよく見ると、うん、たしかに RRSIG の有効期間が切れてるな。なんで検証できちゃってるの? _ …unbound の小さな親切だったみたい。時刻のズレをある程度許容してるので、一定の範囲内であれば検証失敗にならないよ、と。へー。でもこういうのって署名する側であらかじめ余裕を持った範囲で期間を設定しておくものなんで、それを検証側でさらに緩めてしまうのもどうかと思うなぁ。 _ unbound.conf(5) を見ると、このへんのことは以下の値をいじることで制御できるみたい。夏時間の時差を許容するために1時間はおっけー、って、UTC なのになんで夏時間が? val-sig-skew-min